ASA-2019-00570 – Go: Request Smuggling devido à normalização de cabeçalhos inválidos


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00570

Identificador(es)

ASA-2019-00570, CVE-2019-16276

Título

Request Smuggling devido à normalização de cabeçalhos inválidos

Fabricante(s)

The Go Authors

Produto(s)

Go

Versão(ões) afetada(s)

Go versões anteriores 1.13.1
Go versões anteriores 1.12.10

Versão(ões) corrigida(s)

Go versão 1.13.1
Go versão 1.12.10

Prova de conceito

Desconhecido

Descrição

net/http do Go (através do net/textproto) costumava a aceitar e normalizar cabeçalhos HTTP/1.1 inválidos com um espaço antes dos dois pontos nas versões vulneráveis, violando a RFC 7230. Se um servidor Go for usado associado à um proxy reverso que aceite e encaminhe, mas não normalize header inválidos, o proxy reverso e o servidor podem interpretar os cabeçalhos de maneira diferente. Isso pode levar a bypasses de filtros ou request smuggling, este último se os pedidos de clientes separados forem multiplexados na mesma conexão pelo proxy.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

net/http: invalid headers are normalized, allowing request smuggling #34540
https://github.com/golang/go/issues/34540

197503: net/textproto: don’t normalize headers with spaces before the colon
https://go-review.googlesource.com/c/go/+/197503/

Analysis of Two Newly Patched Kubernetes Vulnerabilities
https://blog.paloaltonetworks.com/2019/10/cloud-kubernetes-vulnerabilities/

[ANNOUNCE] Security Advisory for CVE-2019-16276
https://groups.google.com/forum/?utm_medium=email&utm_source=footer#!topic/kubernetes-security-announce/PtsUCqFi4h4

HTTP Desync Attacks: Request Smuggling Reborn
https://portswigger.net/blog/http-desync-attacks-request-smuggling-reborn

CVE-2019-16276
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16276

CVE-2019-16276
https://nvd.nist.gov/vuln/detail/CVE-2019-16276

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 21 outubro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.