httpoxy sérülékenység

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

PHP - Guzzle 4.0.0rc2 (és későbbi verziók)
Go - net/http package
Python - wsgiref.handlers.CGIHandler, twisted.web.twcgi.CGIScript

Minden olyan webszerver potenciálisan sérülékeny lehet, ami CGI környezetben a fenti összetevőket implementálja.

Az eddigi információk alapján:
Apache HTTPD
mod_fcgi
Nginx cgi script
Tomcat
Erlang HTTP Server
YAWS
HHVM FastCGI

Összefoglaló

A httpoxy egy kritikus kockázati besorolású, egyes Common Gateway Interface (CGI) környezetben futó, szerver-oldali HTTP kliens programkönyvtárakat sújtó probléma, amelyet kihasználva a támadó képes lehet MitM (man-in-the-middle) támadásokat végrehajtani vagy szolgáltatásmegtagadást okozni a támadott rendszeren.

Leírás

A probléma hátterében egy névütközés áll, egyes programnyelvek (PHP, Python, Go) nem megfelelően kezelik a HTTP kérések ‘HTTP Proxy‘ fejlécét és CGI környezeti globális változóként proxy szerver beállítására használják (‘HTTP_PROXY‘) kimenő forgalom esetében. A támadó ily módon eltérítheti az alkalmazás által indított HTTP forgalmat egy tetszőleges proxy szerver felé és lehallgathatja azt.

UPDATE 2016.07.21.

A PHP új verziója (7.0.9) már nem sérülékeny.

Megoldás

1. Ahol elérhető (pl.: PHP), a gyártói javítások telepítése.
2. Globálisan alkalmazható megkerülő megoldás: a Proxy fejléc letiltása, amelyről bővebb információ a httpoxy dedikált oldalon (#fix-now alatt) található.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: httpoxy.org
Egyéb referencia: httpoxy.org
Egyéb referencia: seclists.org
Egyéb referencia: www.drupal.org
Egyéb referencia: github.com
Egyéb referencia: security-tracker.debian.org
CVE-2016-5385 - NVD CVE-2016-5385
CVE-2016-5386 - NVD CVE-2016-5386
CVE-2016-5387 - NVD CVE-2016-5387
CVE-2016-5388 - NVD CVE-2016-5388