HTTP请求走私漏洞在HAProxy中修复

Ben Dickson

2023年2月17日 16:05 UTC

更新： 2023年2月17日 16:07 UTC

流行的开源负载均衡器和反向代理HAProxy修复了一个可能允许攻击者发起HTTP请求走私攻击的漏洞。

通过发送精心构造的恶意HTTP请求，攻击者可以绕过HAProxy的过滤器，获得对后端服务器的未授权访问。

根据HAProxy维护者Willy Tarreau的通知，“一个精心构造的HTTP请求可以使HAProxy在解析并至少部分处理后丢弃一些重要的头部字段，如Connection、Content-length、Transfer-Encoding、Host等”。

这可能会混淆HAProxy，并强制它在不应用过滤器的情况下将请求发送到后端服务器。

例如，它可以用于绕过HAProxy对某些URL的身份验证检查，或让攻击者访问受限资源。该漏洞并不难利用，但其影响取决于目标Web服务器以及它依赖HAProxy过滤器保护其资源的程度。

“只需要对HTTP协议和走私攻击的工作原理有中等程度的了解，”Tarreau告诉The Daily Swig。“我知道通常的HTTP漏洞寻求者会立即明白如何利用这一点，只需要两到三次测试来验证他们的假设，这就是为什么真的不需要[包含]更多细节。”

该漏洞由东北大学、Akamai Technologies和Google的一组研究人员在进行测试时报告。

Tarreau表示，该漏洞自2019年6月发布的HAProxy 2.0版本以来就一直存在。

“任何支持客户端HTTP/1和服务器端HTTP/1的配置都是易受攻击的，除非它运行在修复版本上或包含我提出的变通方案，”Tarreau说。“所以这接近100%的暴露部署。”

希望将最新的Web安全新闻直接发送到您的收件箱？在此处注册我们的新闻通讯

部署在基础设施更深处的实例，如API网关，没有风险，因为没有应用程序或前端代理会产生此类无效请求。

Tarreau正在积极维护七个版本的HAProxy，并为所有版本发布了修复程序。

“负载均衡器是基础设施中的关键组件，通常用户除非绝对必要或需要新功能，否则不想升级它，”Tarreau说。“因此，我们每个稳定版本维护五年，以便他们有足够的时间验证新版本并在需要时升级。”

对于那些无法立即升级到最新版本的人，Tarreau提供了一个基于配置的临时变通方案，通过检测利用该漏洞引起的内部条件来阻止攻击。

对于那些运行旧版本HAProxy的人，Tarreau的通知警告：“如果您运行的是过时版本……最好的短期选择是升级到紧接的下一个分支，这将给您带来最少的意外或变化。”

“请不要寻求从过时版本升级的帮助，如果您五年都不关心更新，那么很可能没有人会关心帮助您赶上。”

该漏洞并非第一个影响HAProxy的严重HTTP请求走私缺陷，The Daily Swig曾在2021年9月报道过JFrog研究人员披露的类似问题影响该平台。

您可能还喜欢 OAuth‘大师班’被评为2022年顶级Web黑客技术