Anzeige

Cyberangriff

Forscher des JFrog Security-Teams veröffentlichten Forschungsergebnisse, die eine potenziell kritische Schwachstelle in HAProxy aufzeigen. HAProxy ist ein weit verbreiteter Open-Source-Load-Balancer-Proxy-Server, der sich besonders für sehr stark frequentierte Websites eignet und von vielen führenden Unternehmen eingesetzt wird.

Er wird auch mit den meisten Mainstream-Linux-Distributionen ausgeliefert und wird oft standardmäßig in Cloud-Plattformen eingesetzt. JFrog Security hat diese Schwachstelle in einem Responsable Disclosure-Verfahren offengelegt und mit den HAProxy-Maintainern zusammengearbeitet, um den Fix zu verifizieren. Bei der Schwachstelle CVE-2021-40346 handelt es sich um eine Integer-Overflow-Schwachstelle, die einen HTTP-Request-Smuggling-Angriff ermöglicht und einen CVSSv3-Wert von 8,6 aufweist. Dieser Angriff ermöglicht es einem Angreifer, HTTP-Anfragen an den Backend-Server zu „schmuggeln“, ohne dass der Proxy-Server dies bemerkt.

Asaf Karas, CTO, JFrog Security, kommentiert:

„HTTP-Request-Schmuggel ist ein Schwachstellen-Typ, der in den letzten Monaten aufgrund zahlreicher gut bezahlter Bug-Bounty-Berichte die Aufmerksamkeit der Community auf sich gezogen hat. Sie ist nicht nur auf dem Vormarsch, sondern ihre Auswirkungen können je nach Konfiguration der Server hinter dem Proxy auch schädlich sein. Sicherheitsverantwortliche sollten überprüfen, wie sie HAProxy in ihrer Umgebung einsetzen und testen, ob sie anfällig sind, wenn sie HAProxy als Reverse-Proxy verwenden.“

Shachar Menashe, Sr. Research Director, JFrog Security, fügt hinzu:

„Stellen Sie sicher, dass administrative Web-Endpunkte und sensibles Material hinter robusten Authentifizierungsmechanismen geschützt sind, anstatt einfacher ZSL (Zugriffssteuerungslisten)-Regeln in einem externen Proxy oder einer Firewall. Darüber hinaus sollte der protokollierte HTTP-Verkehr immer nur für administrative Benutzer zugänglich sein - unabhängig davon, welcher Teil der HTTP-Anfrage protokolliert wird -, um zu vermeiden, dass unbeabsichtigte Teile einer HTTP-Anfrage für potenzielle Angreifer sichtbar werden.

www.jfrog.com

 


Weitere Artikel

E-Rechnung

Elektronische Rechnungen kommen zunehmend besser an

Die elektronische Rechnung kommt in Deutschland immer schneller voran. Inzwischen versenden 4 von 10 Unternehmen (43 Prozent) E-Rechnungen. Vor einem Jahr lag der Anteil erst bei rund einem Drittel (3o Prozent), vor drei Jahren war es nur jedes Fünfte (19…
Social Media

Social Media: Nur eine Minderheit folgt Politiker-Accounts

Auf den Social-Media-Accounts von einiger Politikerinnen und Politikern werden sich demnächst wohl direkte Eindrücke aus Sondierungsrunden oder Koalitionsverhandlungen im Bund und einigen Ländern finden. Doch die große Mehrheit der Bürgerinnen und Bürger…
Akquisition

Dynatrace übernimmt SpectX

Das Software-Intelligence-Unternehmen Dynatrace hat die Übernahme des High-Speed-Parsing- und Query-Analytics-Unternehmens SpectX abgeschlossen und bettet künftig die SpectX-Technologie in die eigene Software-Intelligence-Plattform mit ein.
Online-Beratung

Online-Beratung bei Finanzierungsanbietern mit Schwächen

Die Möglichkeiten der Online-Beratung werden von den Finanzierungsanbietern nicht ausgeschöpft. Statt auf individuelle Bedürfnisse der Immobilienkäufer einzugehen, setzen die Baufinanzierer vornehmlich auf Terminvereinbarungen und eine Konditionsermittlung…
it-sa 2021

it-sa 2021 vom 12. bis 14. Oktober in Nürnberg

Auf 52,5 Mrd. Euro schätzt das Institut der deutschen Wirtschaft die finanziellen Schäden, die im letzten Jahr durch Hackerangriffe auf Mitarbeiter im Homeoffice entstanden. Als Fachmesse für IT-Sicherheit widmet sich die it-sa vom 12. bis 14. Oktober der…
Videocall

Ärger um Vergabe von Videosystem geht in nächste Runde

Im juristischen Streit über die Vergabe eines Auftrags für ein landesweites Videokonferenzsystems an Hessens Schulen wehrt sich das Land gegen eine Entscheidung der Vergabekammer. Nach den Worten eines Sprechers des Kultusministeriums in Wiesbaden wurde…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.