Sicherheitslücke in Gunicorn WSGI: HTTP-Request-Schmuggel möglich

Im WSGI Webserver Gunicorn wurde eine schwere Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, HTTP-Requests zu manipulieren. Die Schwachstelle CVE-2024-1135 (CVSS 7.5 / 10), betrifft das unzureichende Validieren von Transfer-Encoding-Headern, was zu HTTP Request Smuggling (HRS) führen kann.

Ein Beispielanfrage, die das Problem veranschaulicht, sieht wie folgt aus:

POST /hello HTTP/1.1
Host: localhost
Content-Length: 90
Transfer-Encoding: chunked
Transfer-Encoding: xchunked

Diese Anfrage führt dazu, dass Gunicorn nur das chunked Encoding berücksichtigt und alle folgenden Encodings ignoriert, was gegen die Vorschriften des RFC 9110 verstößt. Dieser besagt, dass ein Server mit einer unbekannten Transfer-Kodierung mit dem Status 501 (Nicht implementiert) antworten sollte.

Durch das Ausnutzen dieser Lücke könnten Angreifer unter anderem folgende Angriffe durchführen:

  • Cache Poisoning
  • Datenexposition
  • Manipulation von Sitzungen
  • Serverseitige Anfragenfälschung (SSRF)
  • Cross-Site Scripting (XSS)
  • Denial of Service (DoS)

Die besondere Gefahr bei HTTP Request Smuggling ist, dass es einem Angreifer ermöglicht wird, unautorisierte Anfragen intern im Netzwerk des Opfers zu tätigen, ohne direkt auf das Endsystem zugreifen zu müssen.

Die Entwickler von Gunicorn haben noch keinen Patch für diese Lücke bereitgestellt. In den letzten Monaten gab es mehrere Kommunikationsversuche mit dem Gunicorn-Team, um eine Lösung zu erarbeiten. Bisher wurde jedoch kein Update veröffentlicht, das diesen Fehler behebt.

Administratoren und Nutzer von Gunicorn werden dringend aufgefordert, die Konfiguration ihrer Server zu überprüfen und nach Möglichkeit vorübergehende Maßnahmen zu ergreifen, um die Risiken zu minimieren. Dies könnte beispielsweise die strikte Überwachung von verdächtigem Netzwerkverkehr oder die Implementierung von zusätzlichen Sicherheitsfiltern auf dem Frontend-Server beinhalten.

Wir gehen davon aus, dass ein vorrübergehender Switch auf die Master Branch ausreicht, um die Lücke zu schliessen und auf das neue Release zu warten. Unsere Recherchen zeigten, dass der Commit ac29c9b eine Fehlerbehandlung für eben diese Problematik bereitsstellt.

Related Posts

Kritische Sicherheitslücke in FortiClient Linux: Remote Code Execution

April 2024 - Sicherheitsforscher haben eine kritische Sicherheitslücke in FortiClient Linux veröffentlicht, die eine erhebliche Bedrohung für die Sicherheit der Benutzer darstellt. Diese Sicherheitslücke, kategorisiert als ‘Unzureichende Steuerung der Codegenerierung’ (auch bekannt als ‘Code Injection’) mit CWE-94, ermöglicht es nicht authentifizierten Angreifern, beliebigen Code auszuführen, indem sie eine Schwachstelle in der Node.js-Konfiguration ausnutzen. Bei erfolgreicher Ausnutzung können Angreifer nicht autorisierten Code oder Befehle ausführen, indem sie FortiClient Linux-Benutzer dazu bringen, eine bösartige Website zu besuchen. Dies könnte schwerwiegende Folgen haben, einschließlich Datenverlust, Systemkompromittierung und unbefugtem Zugriff auf sensible Informationen. Die Lücke CVE-2023-45590 wird mit CVSSv3 Score: 9.4 / 10 als kritisch bewertet

Read More

TU Graz: WebGPU Schwachstelle erlaubt Datendiebstahl

April 2024 - Forscher der Technischen Universität Graz haben bedenkliche Sicherheitslücken in der Browser-Schnittstelle WebGPU entdeckt, die es ermöglichen, über Seitenkanalangriffe auf Grafikkarten Zugriff auf fremde Computer zu erhalten. Diese Angriffe sind so schnell, dass sie während normaler Internetnutzung unbemerkt bleiben könnten. Die Schnittstelle WebGPU, die zunehmend für rechenintensive Aufgaben in Webbrowsern verwendet wird, ermöglicht es, die Grafikkarte (GPU) eines Computers zu nutzen. Die Forscher des Instituts für Angewandte Informationsverarbeitung und Kommunikationstechnologie an der TU Graz konnten zeigen, dass durch manipuliertes JavaScript auf Websites Daten wie Tastatureingaben oder Verschlüsselungsschlüssel ausgespäht werden können. Folgende Angriffszenarieren sind laut den Forschern möglich:

Read More

Kritische Sicherheitslücke in Apache Kafka entdeckt: CVE-2024-27309

April 2024 – Eine kritische Sicherheitslücke, die als CVE-2024-27309 identifiziert wurde, betrifft die beliebte Open-Source-Streaming-Plattform Apache Kafka. Die Entdeckung dieser Schwachstelle wurde gestern Abend von Colin McCabe von der Apache Software Foundation bekannt gegeben. Die Lücke weist auf potenzielle Fehlsteuerungen der Zugriffskontrollen während der Migration von ZooKeeper-Modus (ZK) zu KRaft-Modus in Apache Kafka hin. Folgende Versionen von Apache Kafka von dieser Schwachstelle betroffen: Apache Kafka 3.5.0 Apache Kafka 3.5.1 Apache Kafka 3.5.2 Apache Kafka 3.6.0 Apache Kafka 3.6.1 Während eines Migrationsprozesses von ZooKeeper-Modus zu KRaft-Modus in Apache Kafka können in bestimmten Fällen Zugriffskontrolllisten (Access Control Lists, ACLs) nicht korrekt durchgesetzt werden. Die Schwachstelle tritt unter zwei spezifischen Voraussetzungen auf:

Read More