Netlify IPX 漏洞摘要
IPX 是一个图像优化服务器库,允许站点提供动态调整大小和重新格式化的图像。尽管它是由 Nuxt 团队创建的,但它可以在任何需要提供优化图像的网站上使用。 Netlify 维护 IPX Netlify 插件的一个分支,默认情况下 台湾电话生成 可供 Gatsby 和 Next.js 等框架的用户使用。
在这种情况下,研究人员在原始 IPX Netlify 插件中发现了一个漏洞,该漏洞也存在于 Netlify 分支中。攻击者可以在发送到图像处理程序时操纵 X-Forwarded-Proto 标头以绕过源图像白名单,返回任意图像。默认情况下,图像不附带内容安全策略标头,这意味着恶意 SVG 可能会通过嵌入脚本返回,该脚本将从站点域提供服务。此有效负载缓存在服务器端,创建中毒缓存,使恶意攻击者能够在任何运行 Netlify IPX 图像处理程序的网站上执行存储的跨站点脚本和完整响应服务器端请求伪造。您可以参考此 GitHub 问题以获取更多信息。
在这种情况下,我们分叉了存储库,因为原始项目是作为独立的 Netlify 插件发布的,我们不想以这种方式使用它。我们希望将其发布为库,以便可以在任何网站上使用它而无需安装插件,或者可以作为其他插件或运行时的依赖项进行安装。
Netlify 与错误赏金研究人员合作
我们热衷于与错误赏金研究合作伙伴合作,让 Netlify 平台更好地服务于每个人。在这种情况下,我们的研究员 Sam Curry 带着一个漏洞来找我们,随着我们继续他们的研究,我们能够扩展他们的发现,从而提高了发现的整体严重性。漏洞赏金研究人员是我们团队的重要组成部分,由于他们给了我们在特定领域进行研究的动力,我们向他们提供了赏金,不仅涵盖了他们发现的内容,还涵盖了我们能够将发现扩展到的内容。如果您是一位出色的错误赏金研究员,我们希望与您合作。今天看看我们的公共错误赏金计划。
我们已采取的补救措施
我们通过清理所有请求中受影响的标头来缓解所有用户的这种情况。我们还发布了 Netlify IPX 库的更新,以清理服务器上的标头。虽然 IPX 服务器库本身没有漏洞,但在 Netlify 向 IPX 项目上游报告该漏洞后,该团队发布了一个更新,为所有响应添加内容安全策略标头,这将在未来缓解恶意 SVG 的类似问题。最后,原始的未分叉的 Netlify IPX 插件已被弃用,因为它不再被维护,并已被 Netlify 分叉所取代。
您需要采取什么行动?
此时您无需采取任何操作。 Netlify 已修复该问题,您无需进行任何更改即可安装新的 IPX 软件包。如有任何疑问,请联系 Netlify 支持。
负责任地向 Netlify 披露调查结果
您可以通过我们的公共错误赏金计划负责任地报告您的漏洞发现,帮助我们使网络不仅变得更好,而且变得更安全。