ORY Oathkeeper — это прокси-сервер идентификации и доступа (IAP) и API принятия решений по контролю доступа, который авторизует HTTP-запросы на основе наборов правил доступа. Ory Oathkeeper часто развертывается позади других компонентов, таких как CDN, WAF или обратные прокси. В зависимости от настройки другой компонент может перенаправить запрос прокси-серверу Oathkeeper по протоколу, отличному от исходного запроса (http или https).
Чтобы правильно сопоставить запрос с настроенными правилами, Oathkeeper учитывает заголовок X-Forwarded-Proto при оценке правил. Параметр конфигурации «serve.proxy.trust_forwarded_headers» (по умолчанию false) определяет, следует ли доверять этому и другим заголовкам «X-Forwarded-*». До версии 26.2.0 Oathkeeper не учитывал должным образом эту конфигурацию и всегда учитывал заголовок X-Forwarded-Proto.
Чтобы злоумышленник мог злоупотребить этим, установка Ory Oathkeeper должна иметь отдельные правила для запросов HTTP и HTTPS. Кроме того, злоумышленник должен иметь возможность активировать одно, но не другое правило. В этом сценарии злоумышленник может отправить тот же запрос, но с заголовком X-Forwarded-Proto, чтобы активировать другое правило.
Мы не ожидаем, что многие конфигурации будут соответствовать этим предварительным условиям. Версия 26.2.0 содержит исправление. Ory Oathkeeper будет правильно соблюдать конфигурацию `serve.proxy.trust_forwarded_headers` в дальнейшем, тем самым исключая сценарий атаки.
Мы рекомендуем выполнить обновление до фиксированной версии, даже если предварительные условия не выполнены. В качестве дополнительного средства защиты обычно рекомендуется удалять любые неожиданные заголовки как можно раньше при обработке запроса, например. в ВАФ.
Показать оригинальное описание (EN)
ORY Oathkeeper is an Identity & Access Proxy (IAP) and Access Control Decision API that authorizes HTTP requests based on sets of Access Rules. Ory Oathkeeper is often deployed behind other components like CDNs, WAFs, or reverse proxies. Depending on the setup, another component might forward the request to the Oathkeeper proxy with a different protocol (http vs. https) than the original request. In order to properly match the request against the configured rules, Oathkeeper considers the `X-Forwarded-Proto` header when evaluating rules. The configuration option `serve.proxy.trust_forwarded_headers` (defaults to false) governs whether this and other `X-Forwarded-*` headers should be trusted. Prior to version 26.2.0, Oathkeeper did not properly respect this configuration, and would always consider the `X-Forwarded-Proto` header. In order for an attacker to abuse this, an installation of Ory Oathkeeper needs to have distinct rules for HTTP and HTTPS requests. Also, the attacker needs to be able to trigger one but not the other rule. In this scenario, the attacker can send the same request but with the `X-Forwarded-Proto` header in order to trigger the other rule. We do not expect many configurations to meet these preconditions. Version 26.2.0 contains a patch. Ory Oathkeeper will correctly respect the `serve.proxy.trust_forwarded_headers` configuration going forward, thereby eliminating the attack scenario. We recommend upgrading to a fixed version even if the preconditions are not met. As an additional mitigation, it is generally recommended to drop any unexpected headers as early as possible when a request is handled, e.g. in the WAF.
Характеристики атаки
Последствия
Строка CVSS v3.1