[zorp-hu] smuggle attack

Balazs Scheidler bazsi at balabit.hu
2006. Május. 22., H, 14:53:48 CEST


On Mon, 2006-05-22 at 14:26 +0200, Kosa Attila wrote:
> On Thu, May 11, 2006 at 12:29:53PM +0200, Balazs Scheidler wrote:
> > On Wed, 2006-05-10 at 15:22 +0200, Kosa Attila wrote:
> > > 
> > > Possible smuggle attack, removing header duplication; header='Connection', value='keep-alive'
> > > 
> > > Eddig nem kaptam, es mas verzioju zorp-pal kapcsolatban sem
> > > talalkoztam meg ilyen uzenettel. Valaki el tudna mondani, hogy mi
> > > ez?
> > 
> > https://www.watchfire.com/securearea/whitepapers.aspx?id=12
> > 
> > nagyjabol ket "Connection" fejlec volt ugyanabban a keresben, a Zorp az
> > egyiket (konkretan az elsot) kivette, a tobbit eldobta.
> 
> Koszi, ezt meg ertettem. Feltennem maskepp a kerdest: a 3.x
> elotti zorp verziok is ad(hat)tak hasonlo uzenetet (es csak en
> nem talalkoztam veluk), vagy azokban a verziokban nem volt ilyen
> uzenet (esetleg maskepp nezett ki)?

Nem volt ilyen uzenet, mert a Zorpban nem volt ilyen ellenorzes, mert a
3.0.8-ban jelent meg eloszor:

          * Added countermeasures for various request/response smuggling attacks.

A konkret esetben valoszinuleg hamis riasztast jelent, es leginkabb a 
szerver/alkalmazas hulyesege, lehet, hogy feljebb kellene tolni az
uzenet verbosity szintjet, ha tul gyakran jon elo.

-- 
Bazsi



További információk a(z) zorp-hu levelezőlistáról