通过LF与CRLF处理的HTTP请求走私

CVE编号

CVE-2019-16785

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-12-21

漏洞描述

Waitress通过版本1.3.1实现了RFC7230的“MAY”部分，其中声明:“尽管起始行和报头字段的行结束符是序列CRLF，但是接收方可以将单个LF识别为行结束符，并忽略前面的任何CR。”不幸的是，如果前端服务器不能像使用CRLF那样使用LF解析头字段，就会导致前端和后端服务器以两种不同的方式解析相同的HTTP消息。这可能导致HTTP请求走私/分裂，即女服务员可能看到两个请求，而前端服务器只看到一个HTTP消息。这个问题在Waitress 1.4.0中得到了修复。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/Pylons/waitress/commit/8eba394ad75deaf9e5cd15b78a3d16b12e6b0eba

参考链接
https://access.redhat.com/errata/RHSA-2020:0720
https://docs.pylonsproject.org/projects/waitress/en/latest/#security-fixes
https://github.com/Pylons/waitress/commit/8eba394ad75deaf9e5cd15b78a3d16b12e6b0eba
https://github.com/Pylons/waitress/security/advisories/GHSA-pg36-wpm5-g57p
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	agendaless	waitress	*		Up to (including) 1.3.1
	运行在以下环境
	系统	alpine_3.11	waitress	*		Up to (excluding) 1.4.0-r0
	运行在以下环境
	系统	alpine_3.12	waitress	*		Up to (excluding) 1.4.0-r0
	运行在以下环境
	系统	alpine_3.13	waitress	*		Up to (excluding) 1.4.0-r0
	运行在以下环境
	系统	alpine_3.14	waitress	*		Up to (excluding) 1.4.0-r0
	运行在以下环境
	系统	alpine_3.15	waitress	*		Up to (excluding) 1.4.0-r0
	运行在以下环境
	系统	alpine_edge	waitress	*		Up to (excluding) 1.4.0-r0
	运行在以下环境
	系统	debian_10	waitress	*		Up to (excluding) 1.2.0~b2-2
	运行在以下环境
	系统	debian_9	waitress	*		Up to (excluding) 1.0.1-1
	运行在以下环境
	系统	fedora_30	waitress	*		Up to (excluding) 1.4.3-1.fc30
	运行在以下环境
	系统	fedora_31	waitress	*		Up to (excluding) 1.4.3-1.fc31
	运行在以下环境
	系统	fedora_EPEL_7	waitress	*		Up to (excluding) 1.4.3-1.el7
	运行在以下环境
	系统	opensuse_Leap_15.1	waitress	*		Up to (excluding) 1.4.3-lp151.3.3.1
	运行在以下环境
	系统	opensuse_Leap_15.2	waitress	*		Up to (excluding) 1.4.3-lp152.4.3.1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-444 HTTP请求的解释不一致性（HTTP请求私运）