Une vulnérabilité de fuite de mémoire non initialisée dans le projet de serveur HTTP H2O a été corrigée.

Dans un rédaction technique publié le 31 janvier, le chercheur indépendant en sécurité Emil Lerner a déclaré que le bogue avait un impact sur le service de cloud computing Fastly et permettait aux attaquants de voler « des requêtes et des réponses aléatoires à partir de la mémoire non initialisée de ses nœuds ».

H20 est un projet d’optimisation open source pour les serveurs HTTP/1, HTTP/2 et HTTP/3. Le projet est disponible sous licence MIT et s’est avéré populaire auprès de 771 forks.

LIRE LA SUITE HTTP/3 : tout ce que vous devez savoir sur le protocole Web de nouvelle génération

Un peu proche du ‘Cloudbleed‘ défaut de sécurité révélé par l’équipe Project Zero de Google en 2017, Lerner dit que le bogue concerne la façon dont HTTP/3 est implémenté côté serveur. HTTP/3 est un protocole Web de nouvelle génération qui utilise QUIC – initialement développé par Google – et le contrôle de la congestion de l’espace sur UDP.

Cadres RAPIDE

À l’origine, Lerner était à la recherche d’instances de contrebande de requêtes HTTP. Lors de l’examen de H2O et de la découverte que Fastly fonctionne sur QUIC, cependant, le chercheur a trouvé un bogue d’implémentation qui survient si un attaquant envoie des trames QUIC à un serveur dans un ordre spécifique.

La vulnérabilité, désormais suivie comme CVE-2021-43848 et a émis un score de gravité « modéré », peut être exploité lorsque les trames QUIC sont envoyées pour « égarer » le serveur H2O en traitant la mémoire non initialisée comme des trames HTTP/3 qui ont été reçues.

De plus, si H2O est utilisé comme proxy inverse, les malfaiteurs pourraient abuser du système pour envoyer l’état interne de H2O à des serveurs contrôlés par des attaquants.

L’état interne du serveur ne peut pas être contrôlé et donc les données déversées varient – et peuvent inclure le trafic de connexion, les tickets de session TLS, les demandes et réponses d’autres utilisateurs, ou « quelque chose d’autre présent dans la mémoire précédemment libérée de H2O », selon Fastly .

CVE-2021-43848 impacte les serveurs H2O avec prise en charge HTTP/3 entre les commits GitHub 93af138 et d1f0f65.

Répare rapidement

Lerner a signalé la vulnérabilité le 23 novembre 2021. Fastly, l’un des principaux contributeurs au projet H2O, a trié le problème un jour plus tard et, le 29 novembre, l’équipe de sécurité de l’entreprise a pu à la fois reproduire et confirmer la faille de sécurité. L’ingénierie a ensuite pris le relais, développer un correctif et confirmer avec le chercheur que les changements proposés ont résolu le problème. Le patch a été déployé le 8 décembre.

Fastly dit qu’il n’y a aucune preuve suggérant que la vulnérabilité a été exploitée à l’état sauvage.

Lorsqu’il a été approché pour un commentaire, Fastly nous a indiqué un article de blog décrivant le processus de divulgation.

« En fin de compte, nous avons récompensé le rapport [and] l’ensemble du processus a pris environ deux semaines, un revirement dont nous sommes vraiment fiers – et que nous attribuons à l’excellent travail accompli par cette équipe », a déclaré Fastly.

La société a également remercié Lerner pour son rapport.