رفع آسیب‌پذیری‌های AWS WAF در بازرسی درخواست‌های HTTP/2

منتشر شده در مدیر سیستم

1405-04-09

روشن 1405-04-09

در تاریخ 29 ژوئن 2026، شرکت آمازون وب سرویسز (AWS) اعلام کرد که دو آسیب‌پذیری مهم در سرویس AWS WAF (فایروال برنامه‌های وب) شناسایی و رفع شده‌اند. این آسیب‌پذیری‌ها که با شناسه‌های CVE-2026-13762 و CVE-2026-13763 ثبت شده‌اند، مربوط به نحوه بازرسی بدنه درخواست‌های چندفریمی HTTP/2 در AWS WAF هستند.

AWS WAF به عنوان یک فایروال برنامه‌های وب، وظیفه نظارت و محافظت از منابع وب را در برابر حملات مختلف بر عهده دارد. این سرویس به طور خاص درخواست‌های HTTP و HTTPS را بررسی می‌کند تا از نفوذهای احتمالی جلوگیری کند. با این حال، در بررسی‌های امنیتی اخیر، دو نقص در نحوه پردازش درخواست‌های HTTP/2 چندفریمی شناسایی شد که می‌توانستند منجر به بازرسی ناقص بدنه درخواست‌ها شوند.

آسیب‌پذیری اول با شناسه CVE-2026-13762 مربوط به استقرار AWS WAF در کنار سرویس CloudFront است. این نقص به گونه‌ای بود که می‌توانست باعث شود برخی درخواست‌ها به درستی بررسی نشوند. خوشبختانه، این مشکل به صورت سرور-ساید توسط AWS اصلاح شده است و نیازی به اقدام از سوی مشتریان وجود ندارد.

آسیب‌پذیری دوم با شناسه CVE-2026-13763 بر استقرار AWS WAF همراه با AWS Application Load Balancer (ALB) تأثیر می‌گذارد. در شرایط خاص، یک درخواست چندفریمی HTTP/2 دست‌کاری شده می‌توانست باعث شود تنها بخشی از بدنه درخواست مورد بازرسی قرار گیرد که این موضوع می‌توانست به نفوذگران امکان عبور از فایروال را بدهد. AWS این مشکل را در سطح ALB برطرف کرده است، اما برای اطمینان از حفاظت کامل، مشتریان باید تنظیمات بازرسی بدنه درخواست‌های HTTP/2 در AWS WAF خود را روی ALB به‌روزرسانی کنند.

این به‌روزرسانی‌ها نشان‌دهنده اهمیت مداوم بررسی و بهبود امنیت در سرویس‌های ابری است، به ویژه در زمینه‌هایی که با حجم بالای ترافیک و درخواست‌های پیچیده سروکار دارند. AWS توصیه کرده است که کاربران برای کسب اطلاعات دقیق‌تر و به‌روزتر به مستندات امنیتی مربوطه مراجعه کنند و تنظیمات امنیتی خود را مطابق با راهنمایی‌های جدید به‌روزرسانی نمایند.

با توجه به افزایش روزافزون استفاده از پروتکل HTTP/2 در وب‌سایت‌ها و برنامه‌های تحت وب، توجه به نحوه بازرسی و مدیریت درخواست‌های چندفریمی اهمیت ویژه‌ای یافته است. این آسیب‌پذیری‌ها نمونه‌ای از چالش‌های فنی و امنیتی هستند که توسعه‌دهندگان و ارائه‌دهندگان خدمات ابری باید به طور مستمر به آن‌ها پاسخ دهند.

در نهایت، این اقدامات AWS نشان می‌دهد که شرکت‌های بزرگ فناوری به طور فعال در حال شناسایی و رفع آسیب‌پذیری‌ها هستند تا امنیت زیرساخت‌های ابری خود و کاربرانشان را تضمین کنند. کاربران AWS توصیه می‌شود که ضمن پیگیری اطلاعیه‌های امنیتی، تنظیمات مربوط به AWS WAF و ALB را به دقت بررسی و به‌روزرسانی نمایند تا از حداکثر سطح امنیت بهره‌مند شوند.

درباره مدیر سیستم

تبلیغات متنی