Vigil@nce - Zend Framework : usurpation de l’adresse IP client
novembre 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer l’entête X-Forwarded-For lors de la
connection sur un serveur avec Zend Framework, afin d’usurper
l’adresse IP d’un client légitime.
– Produits concernés : Zend Framework
– Gravité : 2/4
– Date création : 04/11/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L’environnement Zend fournit deux classes pour gérer l’adresse IP
du client :
Zend\Http\PhpEnvironment\RemoteAddress
Zend\Session\Validator\RemoteAddr
L’entête HTTP X-Forwarded-For est utilisée par les proxies pour
indiquer l’adresse IP de leur client, car la variable
$_SERVER[’REMOTE_ADDR’] contient l’adresse IP du proxy.
Cependant, un attaquant (qui n’est pas derrière un proxy) peut
ajouter l’entête X-Forwarded-For contenant l’adresse IP d’un
client autorisé par RemoteAddress ou RemoteAddr.
Un attaquant peut donc employer l’entête X-Forwarded-For lors de
la connection sur un serveur avec Zend Framework, afin d’usurper
l’adresse IP d’un client légitime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Zend-Framework-usurpation-de-l-adresse-IP-client-13689