Forscher des Jfrog-Security-Teams veröffentlichten Forschungsergebnisse, die eine potenziell kritische Schwachstelle in HAProxy aufzeigen. HAProxy ist ein weit verbreiteter Open-Source-Load-Balancer-Proxy-Server, der sich besonders für sehr stark frequentierte Websites eignet und von vielen führenden Unternehmen eingesetzt wird. Er wird auch mit den meisten Mainstream-Linux-Distributionen ausgeliefert und wird oft standardmäßig in Cloud-Plattformen eingesetzt.
Jfrog Security hat diese Schwachstelle in einem Responsable-Disclosure-Verfahren offengelegt und mit den HAProxy-Maintainern zusammengearbeitet, um den Fix zu verifizieren. Bei der Schwachstelle CVE-2021-40346 handelt es sich um eine Integer-Overflow-Schwachstelle, die einen HTTP-Request-Smuggling-Angriff ermöglicht und einen CVSSv3-Wert von 8,6 aufweist. Dieser Angriff ermöglicht es einem Angreifer, HTTP-Anfragen an den Backend-Server zu „schmuggeln“, ohne dass der Proxy-Server dies bemerkt.
Alle Details zur Sicherheitslücke finden sich im Beitrag: Kritische Sicherheitslücke in HAProxy (CVE-2021-40346): Integer-Overflow ermöglicht HTTP-Schmuggelei: https://jfrog.com/blog/critical-vulnerability-in-haproxy-cve-2021-40346-integer-overflow-enables-http-smuggling/
Asaf Karas, CTO, Jfrog Security, kommentiert: „HTTP-Request-Schmuggel ist ein Schwachstellen-Typ, der in den letzten Monaten aufgrund zahlreicher gut bezahlter Bug-Bounty-Berichte die Aufmerksamkeit der Community auf sich gezogen hat. Sie ist nicht nur auf dem Vormarsch, sondern ihre Auswirkungen können je nach Konfiguration der Server hinter dem Proxy auch schädlich sein. Sicherheitsverantwortliche sollten überprüfen, wie sie HAProxy in ihrer Umgebung einsetzen und testen, ob sie anfällig sind, wenn sie HAProxy als Reverse-Proxy verwenden.“
Shachar Menashe, Sr. Research Director, Jfrog Security, fügt hinzu: „Stellen Sie sicher, dass administrative Web-Endpunkte und sensibles Material hinter robusten Authentifizierungsmechanismen geschützt sind, anstatt einfacher ZSL (Zugriffssteuerungslisten)-Regeln in einem externen Proxy oder einer Firewall. Darüber hinaus sollte der protokollierte HTTP-Verkehr immer nur für administrative Benutzer zugänglich sein – unabhängig davon, welcher Teil der HTTP-Anfrage protokolliert wird -, um zu vermeiden, dass unbeabsichtigte Teile einer HTTP-Anfrage für potenzielle Angreifer sichtbar werden.
#Jfrog