Skip to content

Host Header Manipulation / Manipulation de l’en-tête HOST

Moderate
jimleroyer published GHSA-qf39-3crq-hpw3 Oct 17, 2023

Package

notification-terraform

Affected versions

< dc767d45e329f78d1cab4eed3a1a45a23c06234f

Patched versions

dc767d45e329f78d1cab4eed3a1a45a23c06234f

Description

(La version française suit)

Vulnerability Type

Host Header Manipulation

Details

The GCNotify application, which provides notifications from the Government of Canada, experienced a security issue that could potentially allow malicious actors to redirect users to misleading websites. There was potential that the URL could be manipulated within the HOST header during the use of non-secure HTTP protocol. Malicious actors could exploit this vulnerability to redirect users to deceptive websites that appeared to be the official GCNotify website. This could be achieved by crafting a POST request with a manipulated HOST header, making it appear as though the user was being directed to the legitimate https://notification.canada.ca/ URL. It's important to note that the HTTPS endpoint of GCNotify was not affected by this vulnerability.

Impact

This security issue posed a moderate risk to users. While it had the potential to mislead users to deceptive websites, it should be noted that it was only exploitable through POST requests, which somewhat limited its risk compared to more common GET-based attacks.

Resolution

The security team promptly responded to the discovery of this issue and worked to resolve it. Within 24 hours of discovery, the issue was fixed in the production environment, ensuring that the HOST header manipulation was no longer possible.

Recommendations

Users are strongly advised to stay informed about security advisories and updates related to the GCNotify application and other government services. Regularly check the official government websites for announcements and security updates.

Contact

If you have any questions or need further assistance, please contact the GCNotify support team at [email protected].


Type de vulnérabilité

Manipulation de l’en-tête HOST

Détails

L’application Notification GC, qui fournit des notifications venant du gouvernement du Canada, a rencontré un problème de sécurité qui pourrait potentiellement permettre à des personnes malveillantes de rediriger les utilisateur·rice·s vers des sites Web trompeurs. L’URL aurait pu être manipulée au sein de l’en-tête HOST durant l’utilisation du protocole HTTP non sécurisé. Des personnes malveillantes auraient pu exploiter cette vulnérabilité pour rediriger des utilisateur·rice·s vers des sites Web trompeurs ressemblant au site Web officiel de Notification GC. Elles auraient pu y parvenir en créant une requête POST à l’aide d’un en-tête HOST manipulé. L’utilisateur·rice aurait alors eu l’impression d’être redirigé·e vers la véritable URL https://notification.canada.ca/. Il est important de souligner que cette vulnérabilité n’a pas eu d’incidence sur le point de terminaison HTTPS de Notification GC.

Incidence

Ce problème de sécurité a engendré un risque modéré pour les utilisateur·rice·s. Bien qu’il y ait eu un risque que les utilisateur·rice·s soient redigiré·e·s vers des sites Web trompeurs, ce problème n’était exploitable que par le biais de requêtes POST, ce qui limitait quelque peu le risque par rapport aux attaques plus courantes basées sur les requêtes GET.

Résolution

L’équipe de sécurité a rapidement agi après la découverte de ce problème et l’a résolu. Le problème a été résolu dans l’environnement de production dans les 24 heures qui ont suivi sa découverte. Après quoi, l’en-tête HOST ne pouvait plus être manipulé.

Recommandations

Nous recommandons fortement aux utilisateur·rice·s de se tenir au fait des avertissements et des mises à jour en matière de sécurité concernant l’application Notification GC et d’autres services gouvernementaux. Vérifiez régulièrement les sites Web officiels du gouvernement pour en consulter les annonces et les mises à jour en matière de sécurité.

Contact

Si vous avez des questions ou souhaitez obtenir davantage d’aide, veuillez contacter l’équipe d’assistance de Notification GC par courriel à l’adresse [email protected].

Severity

Moderate

CVSS overall score

This score calculates overall vulnerability severity from 0 to 10 and is based on the Common Vulnerability Scoring System (CVSS).
/ 10

CVSS v3 base metrics

Attack vector
Network
Attack complexity
Low
Privileges required
None
User interaction
Required
Scope
Unchanged
Confidentiality
None
Integrity
Low
Availability
None

CVSS v3 base metrics

Attack vector: More severe the more the remote (logically and physically) an attacker can be in order to exploit the vulnerability.
Attack complexity: More severe for the least complex attacks.
Privileges required: More severe if no privileges are required.
User interaction: More severe when no user interaction is required.
Scope: More severe when a scope change occurs, e.g. one vulnerable component impacts resources in components beyond its security scope.
Confidentiality: More severe when loss of data confidentiality is highest, measuring the level of data access available to an unauthorized user.
Integrity: More severe when loss of data integrity is the highest, measuring the consequence of data modification possible by an unauthorized user.
Availability: More severe when the loss of impacted component availability is highest.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CVE ID

No known CVE

Weaknesses

No CWEs