2022-2559: Varnish HTTP Cache: Zwei Schwachstellen ermöglichen u. a. einen HTTP-Request-Smuggling-Angriff

Historie:

Version 1 (2022-11-14 15:14)

Neues Advisory

Version 2 (2022-11-15 08:40)

Für Fedora 35 steht ein Sicherheitsupdate in Form des Pakets 'varnish-7.0.3-2.fc36' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 3 (2022-11-21 09:12)

Der Hersteller hatte zur Behebung der beiden Schwachstellen die Varnish Cache Versionen 7.2.1, 7.1.2 und 6.0 LTS version 6.0.11 am 8. November 2022 veröffentlicht; der Versionszweig Varnish Cache 6.0 LTS ist nicht von der Schwachstelle CVE-2022-45059 betroffen. Für Fedora 35, 36 und 37 Modular stehen Sicherheitsupdates in Form der Pakete 'varnish-6.0-3520221118143100.f27b74a8', 'varnish-6.0-3620221118143100.5e5ad4a0' und 'varnish-6.0-3720221118143100.9e842022' bereit, um die Schwachstelle CVE-2022-45060 zu beheben.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen HTTP-Request-Smuggling-Angriff und einen HTTP-Request-Forgery-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für openSUSE Backports SLE 15 SP4 steht ein Sicherheitsupdate für 'varnish' auf Version 7.2.1 bereit, um die beiden Schwachstellen zu beheben.

Schwachstellen:

CVE-2022-45059

Schwachstelle in Varnish HTTP Cache ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2022-45060

Schwachstelle in Varnish HTTP Cache ermöglicht HTTP-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.