开源的代理服务器HAProxy 易遭严重的 HTTP 请求走私攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该漏洞是整数溢出漏洞，CVSS 评分为8.6，已在 HAProxy 版本2.0.25、2.2.17、2.3.14和2.4.4中修复。

HTTP 请求走私是一种 web 应用攻击，能够篡改网站处理从超过一个用户处获得的HTTP 请求的序列。这种攻击也被称为HTTP去同步化，它利用的是前端服务器和后端服务器处理发送者请求方式中存在的解析不一致。

前端服务器通常是供网站通过单点连接并将其转发到一个或多个后端服务器的进站 HTTP 请求链的负载平衡器或反向代理。因此在前端和后端正确处理这些请求很重要，以便服务器能够判断在何处结束请求以及在何处开始下一个请求，如失败则可导致被附加到一个请求中的恶意内容被添加到下一个请求的开头。

换句话说，由于前端和后端服务器使用 Content-Length 和 Transfer-Encoding 标头找到每个请求开头和结束的方式中存在问题，导致恶意 HTTP 请求的结尾被错误计算，从而导致服务器未处理的恶意内容被添加到链中下一个进站请求的开头。

JFrog Security 公司的研究员发布报告解释称，“之所以能够利用一个整数溢出漏洞成功发动攻击，导致在解析 HTTP 请求时 HAProxy 状态异常，具体而言是指 Content-Length 标头的处理逻辑异常。“

在潜在的真实攻击场景下，该缺陷可被用于触发 HTTP 请求走私攻击，绕过由 HAProxy 定义的 ACL 规则，使得用户能够定义自定义规则，拦截恶意请求。

收到漏洞报告后，HAProxy 通过对名称和值的长度进行大小检查修复了该弱点。HAProxy 的创始人兼首席开发员 Willy Tarreau 表示，“作为缓解措施，能够验证任意消息中均未出现不超过一个此类[content-length]标头就足够了。”

建议无法升级到之前所提到软件版本的客户将如下代码片段添加到该代理的配置，以缓解这些攻击：