(La version française suit)
Vulnerability Type
Host Header Manipulation
Details
The GCNotify application, which provides notifications from the Government of Canada, experienced a security issue that could potentially allow malicious actors to redirect users to misleading websites. There was potential that the URL could be manipulated within the HOST header during the use of non-secure HTTP protocol. Malicious actors could exploit this vulnerability to redirect users to deceptive websites that appeared to be the official GCNotify website. This could be achieved by crafting a POST request with a manipulated HOST header, making it appear as though the user was being directed to the legitimate https://notification.canada.ca/ URL. It's important to note that the HTTPS endpoint of GCNotify was not affected by this vulnerability.
Impact
This security issue posed a moderate risk to users. While it had the potential to mislead users to deceptive websites, it should be noted that it was only exploitable through POST requests, which somewhat limited its risk compared to more common GET-based attacks.
Resolution
The security team promptly responded to the discovery of this issue and worked to resolve it. Within 24 hours of discovery, the issue was fixed in the production environment, ensuring that the HOST header manipulation was no longer possible.
Recommendations
Users are strongly advised to stay informed about security advisories and updates related to the GCNotify application and other government services. Regularly check the official government websites for announcements and security updates.
Contact
If you have any questions or need further assistance, please contact the GCNotify support team at assistance+notification@cds-snc.ca.
Type de vulnérabilité
Manipulation de l’en-tête HOST
Détails
L’application Notification GC, qui fournit des notifications venant du gouvernement du Canada, a rencontré un problème de sécurité qui pourrait potentiellement permettre à des personnes malveillantes de rediriger les utilisateur·rice·s vers des sites Web trompeurs. L’URL aurait pu être manipulée au sein de l’en-tête HOST durant l’utilisation du protocole HTTP non sécurisé. Des personnes malveillantes auraient pu exploiter cette vulnérabilité pour rediriger des utilisateur·rice·s vers des sites Web trompeurs ressemblant au site Web officiel de Notification GC. Elles auraient pu y parvenir en créant une requête POST à l’aide d’un en-tête HOST manipulé. L’utilisateur·rice aurait alors eu l’impression d’être redirigé·e vers la véritable URL https://notification.canada.ca/. Il est important de souligner que cette vulnérabilité n’a pas eu d’incidence sur le point de terminaison HTTPS de Notification GC.
Incidence
Ce problème de sécurité a engendré un risque modéré pour les utilisateur·rice·s. Bien qu’il y ait eu un risque que les utilisateur·rice·s soient redigiré·e·s vers des sites Web trompeurs, ce problème n’était exploitable que par le biais de requêtes POST, ce qui limitait quelque peu le risque par rapport aux attaques plus courantes basées sur les requêtes GET.
Résolution
L’équipe de sécurité a rapidement agi après la découverte de ce problème et l’a résolu. Le problème a été résolu dans l’environnement de production dans les 24 heures qui ont suivi sa découverte. Après quoi, l’en-tête HOST ne pouvait plus être manipulé.
Recommandations
Nous recommandons fortement aux utilisateur·rice·s de se tenir au fait des avertissements et des mises à jour en matière de sécurité concernant l’application Notification GC et d’autres services gouvernementaux. Vérifiez régulièrement les sites Web officiels du gouvernement pour en consulter les annonces et les mises à jour en matière de sécurité.
Contact
Si vous avez des questions ou souhaitez obtenir davantage d’aide, veuillez contacter l’équipe d’assistance de Notification GC par courriel à l’adresse assistance+notification@cds-snc.ca.
(La version française suit)
Vulnerability Type
Host Header Manipulation
Details
The GCNotify application, which provides notifications from the Government of Canada, experienced a security issue that could potentially allow malicious actors to redirect users to misleading websites. There was potential that the URL could be manipulated within the HOST header during the use of non-secure HTTP protocol. Malicious actors could exploit this vulnerability to redirect users to deceptive websites that appeared to be the official GCNotify website. This could be achieved by crafting a POST request with a manipulated HOST header, making it appear as though the user was being directed to the legitimate https://notification.canada.ca/ URL. It's important to note that the HTTPS endpoint of GCNotify was not affected by this vulnerability.
Impact
This security issue posed a moderate risk to users. While it had the potential to mislead users to deceptive websites, it should be noted that it was only exploitable through POST requests, which somewhat limited its risk compared to more common GET-based attacks.
Resolution
The security team promptly responded to the discovery of this issue and worked to resolve it. Within 24 hours of discovery, the issue was fixed in the production environment, ensuring that the HOST header manipulation was no longer possible.
Recommendations
Users are strongly advised to stay informed about security advisories and updates related to the GCNotify application and other government services. Regularly check the official government websites for announcements and security updates.
Contact
If you have any questions or need further assistance, please contact the GCNotify support team at assistance+notification@cds-snc.ca.
Type de vulnérabilité
Manipulation de l’en-tête HOST
Détails
L’application Notification GC, qui fournit des notifications venant du gouvernement du Canada, a rencontré un problème de sécurité qui pourrait potentiellement permettre à des personnes malveillantes de rediriger les utilisateur·rice·s vers des sites Web trompeurs. L’URL aurait pu être manipulée au sein de l’en-tête HOST durant l’utilisation du protocole HTTP non sécurisé. Des personnes malveillantes auraient pu exploiter cette vulnérabilité pour rediriger des utilisateur·rice·s vers des sites Web trompeurs ressemblant au site Web officiel de Notification GC. Elles auraient pu y parvenir en créant une requête POST à l’aide d’un en-tête HOST manipulé. L’utilisateur·rice aurait alors eu l’impression d’être redirigé·e vers la véritable URL https://notification.canada.ca/. Il est important de souligner que cette vulnérabilité n’a pas eu d’incidence sur le point de terminaison HTTPS de Notification GC.
Incidence
Ce problème de sécurité a engendré un risque modéré pour les utilisateur·rice·s. Bien qu’il y ait eu un risque que les utilisateur·rice·s soient redigiré·e·s vers des sites Web trompeurs, ce problème n’était exploitable que par le biais de requêtes POST, ce qui limitait quelque peu le risque par rapport aux attaques plus courantes basées sur les requêtes GET.
Résolution
L’équipe de sécurité a rapidement agi après la découverte de ce problème et l’a résolu. Le problème a été résolu dans l’environnement de production dans les 24 heures qui ont suivi sa découverte. Après quoi, l’en-tête HOST ne pouvait plus être manipulé.
Recommandations
Nous recommandons fortement aux utilisateur·rice·s de se tenir au fait des avertissements et des mises à jour en matière de sécurité concernant l’application Notification GC et d’autres services gouvernementaux. Vérifiez régulièrement les sites Web officiels du gouvernement pour en consulter les annonces et les mises à jour en matière de sécurité.
Contact
Si vous avez des questions ou souhaitez obtenir davantage d’aide, veuillez contacter l’équipe d’assistance de Notification GC par courriel à l’adresse assistance+notification@cds-snc.ca.