Forscher des JFrog Security-Teams veröffentlichten Forschungsergebnisse, die eine potenziell kritische Schwachstelle in HAProxy aufzeigen. HAProxy ist ein weit verbreiteter Open-Source-Load-Balancer-
Er wird auch mit den meisten Mainstream-Linux-
Asaf Karas, CTO, JFrog Security, kommentiert:
„HTTP-Request-Schmuggel ist ein Schwachstellen-Typ, der in den letzten Monaten aufgrund zahlreicher gut bezahlter Bug-Bounty-Berichte die Aufmerksamkeit der Community auf sich gezogen hat. Sie ist nicht nur auf dem Vormarsch, sondern ihre Auswirkungen können je nach Konfiguration der Server hinter dem Proxy auch schädlich sein. Sicherheitsverantwortliche sollten überprüfen, wie sie HAProxy in ihrer Umgebung einsetzen und testen, ob sie anfällig sind, wenn sie HAProxy als Reverse-Proxy verwenden.“
Shachar Menashe, Sr. Research Director, JFrog Security, fügt hinzu:
„Stellen Sie sicher, dass administrative Web-Endpunkte und sensibles Material hinter robusten Authentifizierungsmechanismen geschützt sind, anstatt einfacher ZSL (Zugriffssteuerungslisten)-Regeln in einem externen Proxy oder einer Firewall. Darüber hinaus sollte der protokollierte HTTP-Verkehr immer nur für administrative Benutzer zugänglich sein – unabhängig davon, welcher Teil der HTTP-Anfrage protokolliert wird -, um zu vermeiden, dass unbeabsichtigte Teile einer HTTP-Anfrage für potenzielle Angreifer sichtbar werden.
www.jfrog.com