Vulnerabilità: CVE-2020-26281

async-H1 è asincrona HTTP / 1.1 parser di ruggine (crates.io). C’è una richiesta di contrabbando vulnerabilità in async-h1 prima della versione 2.3.0. Questa vulnerabilità interessa qualsiasi server web che utilizza async-H1 dietro un proxy inverso, tra cui tutte le sue domande di marea. Se il server non legge il corpo di una richiesta che è più lungo di una certa lunghezza di buffer, asincrona-h1 tenterà di leggere una successiva richiesta dal contenuto corpo partire da tale offset nel corpo. Un modo per sfruttare questa vulnerabilità sarebbe per un avversario può creare una richiesta così che il corpo contiene una richiesta che non sarebbe notato da un proxy inverso, permettendogli di forgia trasmesso intestazioni / x-trasmessi. Se un’applicazione attendibile l’autenticità di queste intestazioni, potrebbe essere tratto in inganno dalla richiesta di contrabbando. Un altro potenziale problema con questa vulnerabilità è che se un proxy inverso è l’invio di richieste multiple client HTTP lungo la stessa connessione keep-alive, sarebbe possibile per la richiesta di contrabbando per specificare una lunga contenuti e catturare richiesta di un altro utente nel suo corpo. Questo contenuto potrebbe essere catturato in una richiesta post per un endpoint che consente al contenuto di essere successivamente recuperato dall’avversario. Questo è stato affrontato in async-H1 2.3.0 e versioni precedenti sono stati uno strattone.


https://github.com/http-rs/async-h1/security/advisories/GHSA-4vr9-8cjf-vf9c
https://github.com/http-rs/async-h1/security/advisories/GHSA-4vr9-8cjf-vf9c
https://github.com/http-rs/async-h1/releases/tag/v2.3.0
https://github.com/http-rs/async-h1/releases/tag/v2.3.0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26281


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi