Problème connu lors de l'application de strip X-Forwarded-For (xff)

Détails

Palo Alto Networks a identifié un problème dans Pan-OS affectant le décapage des en-têtes HTTP X-Forwarded-For (xff) dans les requêtes http sortantes.

Lorsque la fonction «Strip X-Forwarded-For» est activée, l'en-tête xff peut ne pas être supprimé de façon fiable de certains en-têtes de requête HTTP sortants. Cela peut entraîner une exposition complète ou partielle du contenu du champ d'en-tête xff, généralement une adresse IP interne. Ce problème est abordé dans la prochaine version de maintenance de Pan-OS 6,1 (6.1.1) qui doit être communiquée à la mi-décembre. Un correctif pour le problème est également en cours d'enquête pour Pan-OS 6,0. Jusqu'à ce qu'une mise à jour soit disponible, les clients concernés par ce problème sont invités à examiner leur configuration d'insertion d'en-tête xff sur les proxies, charger

équilibreurs, et d'autres dispositifs pour déterminer si l'insertion xff peut être temporairement désactivé ou limité pour s'appliquer uniquement au trafic interne.