Nowa podatność w Apache APISIX - jak się chronić?

Nowa podatność w Apache APISIX - jak się chronić?

2021-12-01 14:52 Redakcja

Bezpieczeństwo w Apache APISIX stało się kluczowym tematem w związku z nową podatnością oznaczoną jako CVE-2021-43557. Problem ten dotyczy możliwości przejścia ścieżką dzięki zmiennej $request_uri. Wykorzystując skrypt apisix_request.sh, można napotkać błąd 403, co wskazuje na naruszenie bezpieczeństwa.

Analiza ujawnia, że plugin uri-blocker nie normalizuje zmiennej ctx.var.request_uri, co prowadzi do potencjalnych luk w zabezpieczeniach. Bezpośrednia konsekwencja tego błędu to możliwość obejścia mechanizmów ochronnych opartych na uri-blocker. Dodatkowo, integracje stworzone samodzielnie, które opierają się na tej zmiennej, również mogą być narażone.

Jak można się zabezpieczyć? Zaleca się aktualizację do wersji 2.10.2 Apache APISIX oraz normalizację zmiennej ctx.var.request_uri przed jej użyciem. Dla tych, którzy chcą zgłębić temat, dostępne są dodatkowe materiały oraz wyniki badań dotyczących innych kontrolerów ingress.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.