CVE-2024-39321

Versões do Traefik anteriores à 2.11.6, 3.0.4 e 3.1.0-rc3

A vulnerabilidade permite contornar listas de endereços IP permitidos por meio de solicitações de dados antecipadas via HTTP/3 em handshakes QUIC 0-RTT enviados com endereços IP falsificados. Isso ocorre porque os servidores HTTP/3 processam solicitações de dados antecipadas antes que o handshake seja concluído e o endereço IP do cliente seja validado. Os invasores podem obter um ticket de sessão do servidor HTTP/3 e, em seguida, preparar um datagrama UDP contendo um pacote inicial QUIC com um TLS ClientHello e o ticket de sessão, um pacote QUIC 0-RTT com dados antecipados criptografados com a chave pré-compartilhada do ticket de sessão e uma solicitação HTTP/3. Esse datagrama UDP preparado pode ser enviado ao servidor com um endereço IP de origem falsificado arbitrariamente, permitindo que o invasor contorne listas de permissão de IP.

Para resolver o problema, atualize para a versão 2.11.6, 3.0.4 ou 3.1.0-rc3 do Traefik, pois essas versões contêm um patch para a vulnerabilidade.

Para versões anteriores à 2.11.6, considere responder com o código de status HTTP 425 Too Early quando solicitações de dados antecipadas 0-RTT corresponderem ao middleware ipAllowList.sourceRange.

Como alternativa, adie o processamento de solicitações de dados antecipadas 0-RTT até que o handshake seja concluído e o endereço IP do cliente seja validado quando as solicitações de dados antecipadas 0-RTT corresponderem ao middleware ipAllowList.sourceRange.