Im WSGI Webserver Gunicorn wurde eine schwere Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, HTTP-Requests zu manipulieren. Die Schwachstelle CVE-2024-1135 (CVSS 7.5 / 10), betrifft das unzureichende Validieren von Transfer-Encoding-Headern, was zu HTTP Request Smuggling (HRS) führen kann.
Ein Beispielanfrage, die das Problem veranschaulicht, sieht wie folgt aus:
POST /hello HTTP/1.1
Host: localhost
Content-Length: 90
Transfer-Encoding: chunked
Transfer-Encoding: xchunked
Diese Anfrage führt dazu, dass Gunicorn nur das chunked
Encoding berücksichtigt und alle folgenden Encodings ignoriert, was gegen die Vorschriften des RFC 9110 verstößt. Dieser besagt, dass ein Server mit einer unbekannten Transfer-Kodierung mit dem Status 501 (Nicht implementiert) antworten sollte.
Durch das Ausnutzen dieser Lücke könnten Angreifer unter anderem folgende Angriffe durchführen:
- Cache Poisoning
- Datenexposition
- Manipulation von Sitzungen
- Serverseitige Anfragenfälschung (SSRF)
- Cross-Site Scripting (XSS)
- Denial of Service (DoS)
Die besondere Gefahr bei HTTP Request Smuggling ist, dass es einem Angreifer ermöglicht wird, unautorisierte Anfragen intern im Netzwerk des Opfers zu tätigen, ohne direkt auf das Endsystem zugreifen zu müssen.
Die Entwickler von Gunicorn haben noch keinen Patch für diese Lücke bereitgestellt. In den letzten Monaten gab es mehrere Kommunikationsversuche mit dem Gunicorn-Team, um eine Lösung zu erarbeiten. Bisher wurde jedoch kein Update veröffentlicht, das diesen Fehler behebt.
Administratoren und Nutzer von Gunicorn werden dringend aufgefordert, die Konfiguration ihrer Server zu überprüfen und nach Möglichkeit vorübergehende Maßnahmen zu ergreifen, um die Risiken zu minimieren. Dies könnte beispielsweise die strikte Überwachung von verdächtigem Netzwerkverkehr oder die Implementierung von zusätzlichen Sicherheitsfiltern auf dem Frontend-Server beinhalten.
Wir gehen davon aus, dass ein vorrübergehender Switch auf die Master Branch ausreicht, um die Lücke zu schliessen und auf das neue Release zu warten. Unsere Recherchen zeigten, dass der Commit ac29c9b eine Fehlerbehandlung für eben diese Problematik bereitsstellt.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: