331
Existía una grave vulnerabilidad de seguridad en HAProxy que podía permitir ataques de contrabando de solicitudes HTTP. La vulnerabilidad afectó a casi todas las versiones de HAProxy, que el mantenedor parcheó en consecuencia.
La vulnerabilidad HAProxy podría desencadenar el contrabando de contenido HTTP
El mantenedor de HAProxy, Willy Tarreau, recientemente compartió detalles de una grave vulnerabilidad de contrabando de solicitudes HTTP en HAProxy.
HAProxy es un equilibrador de carga de código abierto de alto rendimiento dedicado y una herramienta de proxy inverso para aplicaciones HTTP y TCP. Distribuye las cargas de trabajo y mejora el rendimiento del sitio web mediante la reducción de los tiempos de respuesta y el aumento del rendimiento.
Según la opinión de Tarreau, se dio cuenta de la vulnerabilidad a raíz de un informe de un equipo de investigadores.
En resumen, la falla existía en el manejo de encabezados HAProxy, lo que permitía ataques de contrabando de contenido HTTP. Una solicitud HTTP creada con fines malintencionados podría hacer que HAProxy «elimine algunos campos de encabezado importantes» después del análisis. Esto, a su vez, crearía solicitudes adicionales al servidor, dejando que las solicitudes subsiguientes pasen por alto los filtros HAProxy.
Un adversario podría explotar la falla para acceder a contenido restringido, eludir la autenticación de URL o lograr otros objetivos maliciosos en un sitio web de destino.
Tarreau explicó que diseñar tal ataque no era trivial. Pero tampoco era imposible, especialmente para un atacante que conoce el funcionamiento interno de HTTP.
Corrección de errores publicada
El mantenedor de HAProxy confirmó que la vulnerabilidad casi afecta a las versiones de la aplicación. Estos incluyen las versiones 2.0 y superiores compatibles con HTX y las versiones 1.9 y anteriores que no son HTX o la versión 2.0 en modo heredado. Sin embargo, el impacto de la vulnerabilidad no es el mismo en todas las versiones.
Después de confirmar la vulnerabilidad, Tarreau comenzó a trabajar en un parche y lo lanzó a todas las versiones de HAProxy. Las versiones fijas incluyen 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29 y 2.0.31.
Para los usuarios de HAProxy, recomienda actualizar a la versión parcheada de su sucursal afectada como la mejor estrategia para mantenerse seguro. Aún así, para aquellos que no pueden manejar las actualizaciones inmediatas, Tarreau ha compartido una solución alternativa que rechaza las solicitudes que intentan activar la falla con un error 403. Los administradores pueden observar el aumento de las entradas de error 403 en el registro para identificar los intentos de explotación.
Aunque esta solución funciona bien, no puede garantizar una seguridad infalible. Por lo tanto, actualizar a una versión parcheada es la solución permanente definitiva.
Háganos saber sus pensamientos en los comentarios.