Összefoglaló
A Drupal kritikus besorolású sérülékenysége vált ismerté, amelyet kihasználva rosszindulatú távoli felhasználó képes lehet eltéríteni a HTTP forgalmat egy tetszőleges proxy szerver felé. A sérülékenységet kiküszöbölő megoldás már elérhető a gyártó honlapján.
Leírás
A hiba a PHP Guzzle HTTP kliens működésében található, ami szerver-oldali HTTP kérések kezelésére használatos. A támadó képes lehet közbeékelni egy proxy szervert, amelynek következtében lehallgathatja a forgalmat.
A probléma hátterében egy névütközésből eredő, (több programnyelvet is érintő) implementációs hiba áll, erről az alábbi hivatkozáson érhető el bővebb információ:
http://tech.cert-hungary.hu/vulnerabilities/CH-13419
Megoldás
- Drupal 8.x használata esetén frissítsen a legújabb verzióra (Drupal core 8.1.7)
- Megkerülő megoldásként tiltsa le a ‘Proxy header’-t (lásd: ‘Hivatkozások alatt #fix-now‘).
- Habár a Drupal 7.x nem érintett a sérülékenységben, a megkerülő megoldást ebben az esetben is célszerű alkalmazni!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)
man in the middle
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Egyéb referencia: httpoxy.org
Egyéb referencia: httpoxy.org
CVE-2016-5385 - NVD CVE-2016-5385