One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8379856 |
| Date de publication | 2023-09-06 21:15:14 (vue: 2023-09-06 23:07:41) |
| Titre | CVE-2023-41329 |
| Texte | WireMock est un outil pour se moquer des services HTTP.Le mode proxy de WireMock, peut être protégé par la configuration des restrictions réseau, comme documenté pour empêcher la proxyme et l'enregistrement à partir d'adresses cibles spécifiques.Ces restrictions peuvent être configurées à l'aide des noms de domaine, et dans un tel cas, la configuration est vulnérable aux attaques de rejette DNS.Un correctif similaire a été appliqué dans WireMock 3.0.0-Beta-15 pour les extensions de webhook weblock.La cause profonde de l'attaque est un défaut de la logique qui permet une condition de course déclenchée par un serveur DNS dont l'adresse expire entre la validation initiale et la demande de réseau sortant qui pourrait aller à un domaine qui était censé être interdit.Le contrôle d'un service DNS est nécessaire pour exploiter cette attaque, il a donc une complexité d'exécution élevée et un impact limité.Ce problème a été résolu dans la version 2.35.1 de WireMock-Jre8 et WireMock-Jre8-Standalone, version 3.0.3 de WireMock and WireMock-Standalone, version 2.6.1 de la version Python de WireMock et Versions 2.35.1-1et 3.0.3-1 du récipient Docker WireMock / WireMock.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs incapables de mettre à niveau doivent soit configurer des règles de pare-feu pour définir la liste des destinations autorisées ou pour configurer WireMock pour utiliser les adresses IP au lieu des noms de domaine.
WireMock is a tool for mocking HTTP services. The proxy mode of WireMock, can be protected by the network restrictions configuration, as documented in Preventing proxying to and recording from specific target addresses. These restrictions can be configured using the domain names, and in such a case the configuration is vulnerable to the DNS rebinding attacks. A similar patch was applied in WireMock 3.0.0-beta-15 for the WireMock Webhook Extensions. The root cause of the attack is a defect in the logic which allows for a race condition triggered by a DNS server whose address expires in between the initial validation and the outbound network request that might go to a domain that was supposed to be prohibited. Control over a DNS service is required to exploit this attack, so it has high execution complexity and limited impact. This issue has been addressed in version 2.35.1 of wiremock-jre8 and wiremock-jre8-standalone, version 3.0.3 of wiremock and wiremock-standalone, version 2.6.1 of the python version of wiremock, and versions 2.35.1-1 and 3.0.3-1 of the wiremock/wiremock Docker container. Users are advised to upgrade. Users unable to upgrade should either configure firewall rules to define the list of permitted destinations or to configure WireMock to use IP addresses instead of the domain names. |
| Envoyé | Oui |
| Condensat | 2023 41329 address addressed addresses advised allows applied are attack attacks been beta between can case cause complexity condition configuration configure configured container control cve defect define destinations dns docker documented domain either execution expires exploit extensions firewall from has high http impact initial instead issue jre8 limited list logic might mocking mode names network outbound over patch permitted preventing prohibited protected proxy proxying python race rebinding recording request required restrictions root rules server service services should similar specific standalone such supposed target these tool triggered unable upgrade use users using validation version versions vulnerable webhook which whose wiremock wiremock/wiremock |
| Tags | Tool |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.