FreeBSD: varnish -- リクエストスマグリングの脆弱性 (b10d1afa-6087-11ed-8c5e-641c67a117d8)
high Nessus プラグイン ID 167244
Language:
概要
リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。説明
リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、b10d1afa-6087-11ed-8c5e-641c67a117d8 のアドバイザリに記載されている脆弱性の影響を受けます。- Varnish Cache Project による報告: 特定のヘッダーがホップバイホップになるようにリクエストし、Varnish Cache サーバーが重要なヘッダーをバックエンドに転送しないようにすることで、Varnish Cache サーバーでリクエストスマグリング攻撃が実行される可能性があります。この方法でフィルタリングできるヘッダーには、Content-Length と Host の両方があります。これにより、攻撃者が HTTP/1 プロトコルのフレーミングを破り、VCL のホストルーティングへのリクエストをバイパスする可能性があります。(b10d1afa-6087-11ed-8c5e-641c67a117d8)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 167244
ファイル名: freebsd_pkg_b10d1afa608711ed8c5e641c67a117d8.nasl
バージョン: 1.2
タイプ: local
公開日: 2022/11/10
更新日: 2022/11/10
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:varnish7, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/11/9
脆弱性公開日: 2022/11/8