Certains articles de veille peuvent faire l'objet de traduction automatique.
Une grave vulnérabilité de sécurité existait dans HAProxy qui pouvait permettre des attaques de contrebande de requêtes HTTP. La vulnérabilité a affecté presque toutes les versions de HAProxy, que le responsable a corrigées en conséquence.
La vulnérabilité HAProxy pourrait déclencher la contrebande de contenu HTTP
Le responsable de HAProxy, Willy Tarreau, a récemment partagé des détails sur une grave vulnérabilité de contrebande de requêtes HTTP dans HAProxy.
HAProxy est un équilibreur de charge open source hautes performances dédié et un outil de proxy inverse pour les applications HTTP et TCP. Il répartit les charges de travail et améliore les performances du site Web grâce à des temps de réponse réduits et à un débit accru.
D’après Tarreau avisil a pris connaissance de la vulnérabilité à la suite d’un rapport d’une équipe de chercheurs.
En bref, la faille existait dans le traitement des en-têtes HAProxy, permettant des attaques de contrebande de contenu HTTP. Une requête HTTP conçue de manière malveillante pourrait amener HAProxy à « supprimer certains champs d’en-tête importants » après l’analyse. À son tour, cela créerait des requêtes supplémentaires au serveur, laissant les requêtes suivantes contourner les filtres HAProxy.
Un adversaire pourrait exploiter la faille pour accéder à un contenu restreint, contourner l’authentification par URL ou atteindre d’autres objectifs malveillants sur un site Web cible.
Tarreau a expliqué que concevoir une telle attaque n’était pas anodin. Mais ce n’était pas impossible non plus, en particulier pour un attaquant connaissant les rouages HTTP.
Correction de bogue publiée
Le responsable de HAProxy a confirmé que la vulnérabilité affectait presque les versions de l’application. Celles-ci incluent les versions 2.0 et supérieures compatibles HTX et les versions 1.9 et antérieures non HTX ou la version 2.0 en mode hérité. Cependant, l’impact de la vulnérabilité n’est pas le même dans toutes les versions.
Après avoir confirmé la vulnérabilité, Tarreau a commencé à travailler sur un correctif, le publiant sur toutes les versions de HAProxy. Les versions corrigées incluent 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29 et 2.0.31.
Pour les utilisateurs de HAProxy, le recommande la mise à niveau vers la version corrigée de leur branche concernée comme meilleure stratégie pour rester en sécurité. Néanmoins, pour ceux qui ne peuvent pas gérer les mises à niveau immédiates, Tarreau a partagé une solution de contournement qui rejette les demandes tentant de déclencher la faille avec une erreur 403. Les administrateurs peuvent alors noter les entrées d’erreur 403 croissantes dans le journal pour identifier les tentatives d’exploitation.
Bien que cette solution de contournement fonctionne bien, elle ne peut pas garantir une sécurité à toute épreuve. Ainsi, la mise à niveau vers une version corrigée est la solution permanente ultime.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire