Vigil@nce - Squid, McAfee Web Gateway : contournement de règle HTTPS
mai 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut modifier l’entête Host de ses requêtes, afin de
contourner les règles de filtrages imposées aux flux HTTPS.
Gravité : 2/4
Date création : 19/04/2012
PRODUITS CONCERNÉS
– McAfee Web Gateway
– Squid cache
DESCRIPTION DE LA VULNÉRABILITÉ
Les produits Squid et McAfee Web Gateway permettent à
l’administrateur de filtrer l’accès aux sites web.
Une requête HTTPS (HTTP+SSL) à travers un proxy utilise la méthode
CONNECT :
CONNECT 192.168.0.1:443 HTTP/1.1
Host : www.example.com
Cependant, les proxies ne vérifient pas si le nom indiqué dans
l’entête Host correspond à l’adresse IP de la ligne CONNECT. Un
attaquant peut alors employer un entête Host correspondant à un
site autorisé, et l’adresse IP d’un site normalement bloqué, afin
d’accéder au site bloqué.
Un attaquant peut donc modifier l’entête Host de ses requêtes,
afin de contourner les règles de filtrages imposées aux flux HTTPS.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Squid-McAfee-Web-Gateway-contournement-de-regle-HTTPS-11556