Anzeige

Cyberangriff

Forscher des JFrog Security-Teams veröffentlichten Forschungsergebnisse, die eine potenziell kritische Schwachstelle in HAProxy aufzeigen. HAProxy ist ein weit verbreiteter Open-Source-Load-Balancer-Proxy-Server, der sich besonders für sehr stark frequentierte Websites eignet und von vielen führenden Unternehmen eingesetzt wird.

Er wird auch mit den meisten Mainstream-Linux-Distributionen ausgeliefert und wird oft standardmäßig in Cloud-Plattformen eingesetzt. JFrog Security hat diese Schwachstelle in einem Responsable Disclosure-Verfahren offengelegt und mit den HAProxy-Maintainern zusammengearbeitet, um den Fix zu verifizieren. Bei der Schwachstelle CVE-2021-40346 handelt es sich um eine Integer-Overflow-Schwachstelle, die einen HTTP-Request-Smuggling-Angriff ermöglicht und einen CVSSv3-Wert von 8,6 aufweist. Dieser Angriff ermöglicht es einem Angreifer, HTTP-Anfragen an den Backend-Server zu „schmuggeln“, ohne dass der Proxy-Server dies bemerkt.

Asaf Karas, CTO, JFrog Security, kommentiert:

„HTTP-Request-Schmuggel ist ein Schwachstellen-Typ, der in den letzten Monaten aufgrund zahlreicher gut bezahlter Bug-Bounty-Berichte die Aufmerksamkeit der Community auf sich gezogen hat. Sie ist nicht nur auf dem Vormarsch, sondern ihre Auswirkungen können je nach Konfiguration der Server hinter dem Proxy auch schädlich sein. Sicherheitsverantwortliche sollten überprüfen, wie sie HAProxy in ihrer Umgebung einsetzen und testen, ob sie anfällig sind, wenn sie HAProxy als Reverse-Proxy verwenden.“

Shachar Menashe, Sr. Research Director, JFrog Security, fügt hinzu:

„Stellen Sie sicher, dass administrative Web-Endpunkte und sensibles Material hinter robusten Authentifizierungsmechanismen geschützt sind, anstatt einfacher ZSL (Zugriffssteuerungslisten)-Regeln in einem externen Proxy oder einer Firewall. Darüber hinaus sollte der protokollierte HTTP-Verkehr immer nur für administrative Benutzer zugänglich sein - unabhängig davon, welcher Teil der HTTP-Anfrage protokolliert wird -, um zu vermeiden, dass unbeabsichtigte Teile einer HTTP-Anfrage für potenzielle Angreifer sichtbar werden.

www.jfrog.com

 


Weitere Artikel

Activision Blizzard

Microsoft übernimmt Gamesfirma Activision Blizzard

Microsoft übernimmt in einem fast 70 Milliarden Dollar schweren Deal den großen Videospieleanbieter Activision Blizzard. Der Software-Riese, der hinter der Xbox-Spielekonsole steht, sichert sich damit populäre Spiele wie «Call of Duty», «Overwatch» und «Candy…
Ericsson

Patentklagen: Ericsson geht gegen Apple vor

Nach dem Auslaufen eines Patentdeals zwischen Ericsson und Apple zieht der schwedische Netzwerk-Ausrüster vor Gericht. In Klagen in Texas wirft Ericsson dem iPhone-Konzern die Verletzung von insgesamt zwölf Patenten vor.
Euro

IT-Ausgaben werden 2022 um 5,1 % steigen

Laut dem Research- und Beratungsunternehmen Gartner werden sich die weltweiten IT-Ausgaben im Jahr 2022 auf 4,5 Billionen US-Dollar erhöhen, was einem Anstieg von 5,1 % gegenüber 2021 entspricht.
Chrome

Chrome nagelt User auf Suchmaschine fest

Nutzer des aktuellen Google-Webbrowsers Chrome (Version 97) können in den Einstellungen ab sofort nicht mehr die per Default gesetzten Suchmaschinen aus der Liste entfernen. Gleiches trifft auch auf das freie Chromium-Projekt zu, wie Reddit-User berichten.
Corona Warn App

Ob 2G oder 3G plus: Neue Version der Corona-Warn-App zeigt Status an

Die offizielle Corona-Warn-App des Bundes ist in einer neuen Version in der Lage, gültige Impf- oder Genesenenzertifikate sowie einen digitalen Testnachweis in einen Gesamtstatus zusammenzufassen. Das teilten die Betreiber der App, die SAP und Deutsche…
Social Media Commerce

Nebenbei einkaufen: Social Commerce wird zum Billiardengeschäft

Das Einkaufen auf Social-Media-Plattformen wie Instagram und TikTok wird bis 2025 weltweit 1,2 Bio. Dollar (2021: 492 Mrd. Dollar) erreichen, wie der Bericht "Why Shopping's set for a social Revolution" der Unternehmensberatung Accenture prognostiziert. Dies…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.