Heimdall — это облачный прокси-сервер с поддержкой идентификации и принятия решений по контролю доступа. При использовании Heimdall в режиме API принятия решений envoy gRPC с версиями от 0.7.0-альфа до 0.17.10 неправильное кодирование строки URL-адреса запроса позволяет обходить правила с выражениями пути без подстановочных знаков. Envoy разбивает запрошенный URL-адрес на части и отправляет их по отдельности в Хеймдалль.
Хотя запрос и путь присутствуют в API, документально подтверждено, что поле запроса всегда пусто, а URL-запрос включен в поле пути. Реализация использует библиотеку URL-адресов go для восстановления URL-адреса, который автоматически кодирует специальные символы в пути. Как следствие, такой параметр, как /mypath?foo=bar для Path, экранируется в /mypath%3Ffoo=bar.
Впоследствии правило, соответствующее /mypath, больше не соответствует и игнорируется. Эта проблема может привести к непреднамеренному доступу только в том случае, если в Хеймдалле настроено правило по умолчанию «разрешить все». Начиная с версии 0.16.0, Heimdall применяет безопасные настройки по умолчанию и отказывается запускать такую конфигурацию, если это принудительное применение явно не отключено, например. через --insecure-skip-secure-default-rule-enforcement или более широкий флаг --insecure.
Эта проблема исправлена в версии 0.17.11.
Показать оригинальное описание (EN)
Heimdall is a cloud native Identity Aware Proxy and Access Control Decision service. When using Heimdall in envoy gRPC decision API mode with versions 0.7.0-alpha through 0.17.10, wrong encoding of the query URL string allows rules with non-wildcard path expressions to be bypassed. Envoy splits the requested URL into parts, and sends the parts individually to Heimdall. Although query and path are present in the API, the query field is documented to be always empty and the URL query is included in the path field. The implementation uses go's url library to reconstruct the url which automatically encodes special characters in the path. As a consequence, a parameter like /mypath?foo=bar to Path is escaped into /mypath%3Ffoo=bar. Subsequently, a rule matching /mypath no longer matches and is bypassed. The issue can only lead to unintended access if Heimdall is configured with an "allow all" default rule. Since v0.16.0, Heimdall enforces secure defaults and refuses to start with such a configuration unless this enforcement is explicitly disabled, e.g. via --insecure-skip-secure-default-rule-enforcement or the broader --insecure flag. This issue has been fixed in version 0.17.11.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dadrus Heimdall
cpe:2.3:a:dadrus:heimdall:*:*:*:*:*:*:*:*
|
0.7.0
|
0.17.11
|