流行的开源负载平衡器和反向代理HAProxy修补了一个漏洞，该漏洞可能使攻击者能够进行HTTP请求走私攻击。通过发送恶意制作的HTTP请求，攻击者可以绕过HAProxy的过滤器并获得对后端服务器的未授权访问。

根据HAProxy维护者Willy Tarreau的通知，“精心设计的HTTP请求可以使HAProxy在解析并至少部分处理后丢弃一些重要的标头字段，例如连接、内容长度、传输编码、主机等他们”。

这可能会混淆HAProxy并强制它在不应用过滤器的情况下将请求发送到后端服务器。

例如，它可用于绕过HAProxy对某些URL的身份验证检查或让攻击者访问受限资源。该漏洞并不难利用，但其影响取决于目标Web服务器以及它在多大程度上依赖HAProxy过滤器来保护其资源。

“它只需要对HTTP协议以及走私攻击的工作原理有一定的了解，”Tarreau说。

“我知道通常的HTTP漏洞搜索者会立即了解如何利用它，只需要两到三个测试来证实他们的假设，这就是为什么真的不需要[include]更多细节。”

该漏洞是由东北大学、Akamai Technologies和谷歌的一组研究人员报告的，他们正在运行测试。

Tarreau表示，该漏洞自2019年6月发布的HAProxy 2.0版本以来就存在。

“任何支持客户端HTTP/1和服务器端HTTP/1的配置都容易受到攻击，除非它运行在固定版本上或者它包含我提出的解决方法，”Tarreau说。“所以这相当接近100%的暴露部署。”

部署在基础设施更深处的实例（例如API网关）没有风险，因为没有应用程序或前端代理会产生此类无效请求。

Tarreau正在积极维护HAProxy的七个版本，并为所有版本发布了修复程序。

“负载均衡器是基础设施中的关键组件，通常用户不想升级它，除非绝对必要或他们需要新功能，”Tarreau说。

“因此，我们将每个稳定版本维护五年，以便他们有足够的时间来验证新版本并在需要时进行升级。”

对于那些不能立即升级到最新版本的人，Tarreau提供了一个基于配置的临时解决方法，通过检测漏洞利用引起的内部条件来阻止攻击。

对于那些运行旧版本HAProxy的人，Tarreau的通知警告说：“如果你运行的是过时的版本......最好的短期选择是升级到紧邻的下一个分支，这会给你最少的惊喜或变化。

“请不要寻求帮助从过时的版本升级，如果你不关心五年后的更新，那么任何人都不太可能关心帮助你赶上。”

该漏洞并不是第一个影响HAProxy的严重HTTP请求走私缺陷，JFrog研究人员在2021年9月披露的一个影响该平台的类似问题。