MITMWEB Interface. MITMProxy
Ang CVE-2018-14505 ang label ay ibinigay sa isang kahinaan na natuklasan sa interface ng gumagamit na batay sa web ng Mitmproxy, mitmweb. Ang kahinaan ay una nang nakatagpo ni Josef Gajdusek sa Prague na inilarawan na ang kakulangan ng proteksyon laban sa pag-rebind ng DNS sa mitmweb interface ay maaaring humantong sa mga nakakahamak na website na ma-access ang data o malayuan na magpatakbo ng di-makatwirang mga script ng Python sa file system sa pamamagitan ng pagtatakda ng pagpipilian sa config ng mga script.
Ang isang patunay ng konsepto ay ibinigay din ng Gajdusek upang maipakita ang isang posibleng pagsamantalahan.
Ang patunay ng konsepto na ito ay batay sa isa pang malapit na nauugnay na generic na patunay ng konsepto ni Travis Ormandy.
Tila ang pinakamahusay na paraan upang mapagaan ito kaagad ay sa pamamagitan ng paggawa ng tugma sa hostname na '(localhost | d + . D + . D + . D +)' upang maiiwasan ng mga gumagamit ang kahinaan ng rebinding DNS habang nakaka-access mitmweb mula sa ibang mga host din. Ang isang mas permanenteng solusyon ay mangangailangan ng pag-aampon ng isang estilo ng estilo ng jupyter kung saan ang web interface ay protektado ng password at magpapasa ng isang token sa pag-access sa webbrowser.open na tawag. Ang whitelist na batay sa header ng host ay maaari ring ipatupad upang makamit ang parehong epekto na pinapayagan ang localhost o IP address na mag-access bilang default. Isang sumusuporta sa ipv6 code upang mapabuti ang proteksyon laban sa DNS rebinding ay isinulat ng mitmproxy developer at mag-aaral na PhD na si Maximilian Hils bilang tugon sa pagpaparehistro ng kahinaan na ito sa CVE MITER.
