文責と分析: mala
前置き
- 個人の見解であり所属組織とは関係ない
- 業務時間中の調査内容も含むが、公開情報をベースとして書く
- 注意喚起のために書いており、あとで更新される
- request smuggling自体の解説はしない。(元々知ってる人向け)
- request smugglingは古くからある脆弱性だが、2025年になってBlackHatでrequest smugglingの発表がされたり、未だに新規性のある手法が見つかっていたりする
- 大きめの発表のタイミングで一過性の注目を集めることもあるが、実のところ全然修正されてなかったり、あるいは修正に非常に長い時間がかかったり、潜在的な問題が残ったままになっていたりする
- どういう問題が残っていた、残っているのか、なぜなくならないのかといった考察をする
- https://portswigger.net/research/http1-must-die BlackHatで発表されたもの
- https://w4ke.info/2025/06/18/funky-chunks.html ↑でも引用されている、TEのみでsmugglingが可能になる手法について
- https://w4ke.info/2025/10/29/funky-chunks-2.html
- Akamai https://www.akamai.com/blog/security/cve-2025-66373-http-request-smuggling-chunked-body-size
- nginx https://blog.nginx.org/blog/nginx-open-source-1-29-3-and-1-29-4 "Stricter Chunked Transfer Encoding Parsing" 2024年1月の時点でML宛にセキュリティ問題としてパッチが送られていたのに取り込まれていなかったものが、ついに修正された
- あとで書く
- あとで書く
- CVEが割り当てられなかったものがトラッキングされている
- JLLeitschuh/unCVEed#1
- nginxも最終的に修正がされたがCVEがつかなかった