Plattform
java
Komponente
apache-undertow
Behoben in
1.10.0
2.5.4
A critical vulnerability has been identified in Apache Undertow, a Java servlet container. This flaw allows a remote attacker to exploit a header block terminator issue by sending \r\r\r, potentially enabling request smuggling attacks. This is particularly concerning when Undertow is deployed behind proxy servers such as older versions of Apache Traffic Server or Google Cloud Classic Application Load Balancer, as it can lead to unauthorized access or manipulation of web requests. Affected versions include 1.0.0 through 2.5.3; a fix is available in version 2.5.4.
Eine kritische Schwachstelle (CVE-2026-28367) wurde in der Red Hat Build von Apache Camel für Spring Boot 4 identifiziert, die die Komponente Undertow betrifft. Diese Schwachstelle ermöglicht es einem Remote-Angreifer, das System auszunutzen, indem er \r\r\r als Header-Block-Terminator sendet. Dies kann 'Request Smuggling'-Angriffe in Verbindung mit bestimmten Proxy-Servern erleichtern, wie z. B. älteren Versionen von Apache Traffic Server und Google Cloud Classic Application Load Balancer. Eine erfolgreiche Ausnutzung könnte zu unbefugtem Zugriff auf sensible Daten, Manipulation von Web-Anfragen und potenziell zur Ausführung von Schadcode auf dem Server führen.
Die Schwachstelle wird durch die Manipulation von HTTP-Headern ausgenutzt. Ein Angreifer sendet eine Anfrage mit einer Sequenz \r\r\r in einem Header und täuscht so den Undertow-Server, das Ende der Anfrage falsch zu interpretieren. Dies, in Kombination mit der Art und Weise, wie bestimmte Proxy-Server Anfragen verarbeiten, kann es dem Angreifer ermöglichen, zusätzliche Anfragen 'geschmuggelt' zu werden, die dann als legitime Anfragen verarbeitet werden. Die Schwachstelle ist besonders relevant für Umgebungen, die veraltete oder falsch konfigurierte Proxy-Server verwenden, wie z. B. Apache Traffic Server oder Google Cloud Classic Application Load Balancer. Die Ausnutzung erfordert spezifisches Wissen darüber, wie Proxy-Server funktionieren und HTTP-Header manipuliert werden.
Organizations using Apache Undertow as a servlet container, particularly those deploying it behind proxy servers like Apache Traffic Server or Google Cloud Classic Application Load Balancer, are at significant risk. Legacy systems running older versions of Undertow and those with misconfigured proxy servers are especially vulnerable. Shared hosting environments where multiple users share the same Undertow instance should also be prioritized for remediation.
• linux / server:
journalctl -u undertow -g "header block terminator"• generic web:
curl -I 'http://your-undertow-server/path' -H 'Header: Malicious\r\r\rValue' | grep -i 'HTTP/1.1 200 OK'• linux / server:
lsof -i :8080 | grep undertowdisclosure
patch
Exploit-Status
EPSS
0.05% (15% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist ein Upgrade auf Version 2.5.4 oder höher der Red Hat Build von Apache Camel für Spring Boot 4. Dieses Update enthält eine Korrektur, die die Schwachstelle mildert, indem Header-Block-Terminatoren korrekt behandelt werden. Als vorübergehende Maßnahme wird empfohlen, Proxy-Server zu deaktivieren oder sorgfältig zu konfigurieren, die anfällig für 'Request Smuggling'-Angriffe sein könnten. Es ist entscheidend, die Konfigurationen von Proxy-Servern zu überprüfen und sicherzustellen, dass sie mit den neuesten Sicherheitspatches aktualisiert sind. Es wird auch empfohlen, die Serverprotokolle auf verdächtige Muster von 'Request Smuggling'-Aktivitäten zu überwachen.
Actualice a la versión 2.5.4 o superior para mitigar la vulnerabilidad de contrabando de solicitudes. Esta actualización corrige la forma en que Undertow maneja los terminadores de bloque de encabezados, previniendo la explotación a través de secuencias ` `.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
'Request Smuggling' ist ein Angriff, bei dem ein Angreifer HTTP-Anfragen sendet, die vom Webserver und dem Proxy unterschiedlich interpretiert werden, wodurch der Angreifer zusätzliche Anfragen 'schmuggeln' und potenziell unbefugten Zugriff auf Ressourcen erhalten kann.
Alle Versionen vor 2.5.4 der Red Hat Build von Apache Camel für Spring Boot 4 sind anfällig.
Als vorübergehende Maßnahme sollten Sie anfällige Proxy-Server deaktivieren oder sorgfältig konfigurieren und die Serverprotokolle überwachen.
Es gibt Web-Sicherheitstools, die helfen können, verdächtige Muster von 'Request Smuggling'-Aktivitäten zu erkennen, aber die Erkennung kann komplex sein.
Sie finden weitere Informationen zu dieser Schwachstelle auf den Sicherheitsressourcen von Red Hat und Apache.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.