Traefik — это обратный прокси-сервер HTTP и балансировщик нагрузки. Версии 2.11.40 и ниже, с 3.0.0-beta1 по 3.6.11 и 3.7.0-ea.1 содержат промежуточное программное обеспечение BasicAuth, которое позволяет осуществлять перечисление имен пользователей посредством временной атаки. Если отправленное имя пользователя существует, промежуточное программное обеспечение выполняет сравнение паролей bcrypt, занимающее около 166 мс.
Если имя пользователя не существует, ответ возвращается немедленно через ~0,6 мс. Эта разница во времени ~298x наблюдается по сети и позволяет неаутентифицированному злоумышленнику надежно отличать действительные имена пользователей от недействительных. Эта проблема исправлена в версиях 2.11.41, 3.6.11 и 3.7.0-ea.2.
Показать оригинальное описание (EN)
Traefik is an HTTP reverse proxy and load balancer. Versions 2.11.40 and below, 3.0.0-beta1 through 3.6.11, and 3.7.0-ea.1 comtain BasicAuth middleware that allows username enumeration via a timing attack. When a submitted username exists, the middleware performs a bcrypt password comparison taking ~166ms. When the username does not exist, the response returns immediately in ~0.6ms. This ~298x timing difference is observable over the network and allows an unauthenticated attacker to reliably distinguish valid from invalid usernames. This issue is patched in versions 2.11.41, 3.6.11 and 3.7.0-ea.2.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Traefik Traefik
cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:*
|
— |
2.11.41
|
|
Traefik Traefik
cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:*
|
3.0.0
|
<= 3.6.11
|
|
Traefik Traefik
cpe:2.3:a:traefik:traefik:3.7.0:ea1:*:*:*:*:*:*
|
— | — |