Bekanntes Problem bei der Anwendung von Strip X-weitergeleitet-for (xff)

Details

Palo Alto Networks hat ein Problem in Pan-OS identifiziert, das das Abziehen von X-weitergeleiteten (xff) HTTP-Headern in ausgehenden HTTP-Anfragen betrifft.

Wenn die Funktion "Strip X-weitergeleitet-für Header" aktiviert ist, kann der xff-Header nicht zuverlässig von bestimmten ausgehenden HTTP-Request-Headern abgezogen werden. Dies kann zu einer vollständigen oder teilweisen Exposition des Inhalts des xff-Header-Feldes führen, typischerweise einer internen IP-Adresse. Dieses Problem wird in der nächsten Pan-OS 6,1-Wartungsversion (6.1.1) behandelt, die Mitte Dezember veröffentlicht werden soll. Auch für Pan-OS 6,0 wird eine Lösung für das Thema untersucht. Bis ein Update verfügbar ist, wird den Kunden, die sich mit diesem Problem befassen, empfohlen, ihre xff-Header-Einsteck Konfiguration auf Proxies, Load

Balancer und andere Geräte, um festzustellen, ob xff-Einlage vorübergehend deaktiviert oder nur für den internen Verkehr gelten kann.