Quando implantado por trás de um proxy reverso conectando-se ao Django via HTTPS, o django.http.HttpRequest.scheme detectaria incorretamente solicitações de clientes feitas via HTTP como usando HTTPS. Isso envolve resultados incorretos para is_secure() e build_absolute_uri() e que as solicitações HTTP não serão redirecionadas para HTTPS de acordo com SECURE_SSL_REDIRECT.
Tag: HTTP
ASA-2019-00325 – Twisted: Injeções de CRLF nas APIs do cliente HTTP
As APIs do cliente HTTP da Twisted eram vulneráveis a métodos HTTP, hosts e/ou caminhos, componentes de URI, como caminhos e parâmetros de consulta construídos maliciosamente.
ASA-2019-00152 – PowerDNS: Validação insuficiente no backend remoto do HTTP
Foi encontrado um problema no PowerDNS Authoritative Server quando o backend remoto HTTP é usado no modo RESTful (sem post=1 definido), permitindo que um usuário remoto faça com que o backend HTTP se conecte a um host especificado pelo atacante em vez do host configurado, através de uma consulta DNS trabalhada. Isso pode ser usado para causar uma negação de serviço impedindo que o backend remoto obtenha uma resposta, falsificação de conteúdo se o atacante puder cronometrar sua própria consulta para que as consultas subsequentes usem um servidor HTTP controlado pelo atacante em vez do configurado e possivelmente divulgação de informações se o Authoritative Server tiver acesso a servidores internos.
ASA-2019-00121 – Node.js: Negação de serviço com conexões HTTP keep-alive
Conexões HTTP e HTTPS mantidas em funcionamento podem permanecer abertas e inativas por até 2 minutos no Node.js 6.16.0 e versões anteriores. O Node.js 8.0.0 introduziu um server.keepAliveTimeout dedicado, cujo padrão é 5 segundos. O comportamento no Node.js 6.16.0 e anterior é um possível vetor de ataque negação de serviço (DoS). O Node.js 6.17.0 introduz o server.keepAliveTimeout e o padrão de 5 segundos.
ASA-2019-00120 – Node.js: Slowloris HTTP Negação de serviço com keep-alive
Todas as linhas de lançamento ativamente suportadas são vulneráveis e a gravidade é BAIXA. Um atacante pode causar uma negação de serviço (DoS) estabelecendo uma conexão HTTP ou HTTPS no modo keep-alive e enviando cabeçalhos muito lentamente, mantendo a conexão e os recursos associados ativos por um longo período de tempo. O potencial de ataque é mitigado pelo uso de um balanceador de carga ou outra camada de proxy. Esta vulnerabilidade é uma extensão do CVE-2018-12121, tratada em novembro de 2018. O tempo limite de 40 segundos e seu ajuste por server.headersTimeout aplicam-se a essa correção como no CVE-2018-12121.