httpoxy sérülékenység


2016. július 19. 10:43

CH azonosító

CH-13419

Angol cím

httpoxy vulnerability

Felfedezés dátuma

2016.07.18.

Súlyosság

Kritikus

Érintett rendszerek

PHP
Python Software Foundation

Érintett verziók

PHP - Guzzle 4.0.0rc2 (és későbbi verziók)
Go - net/http package
Python - wsgiref.handlers.CGIHandler, twisted.web.twcgi.CGIScript

Minden olyan webszerver potenciálisan sérülékeny lehet, ami CGI környezetben a fenti összetevőket implementálja.

Az eddigi információk alapján:
Apache HTTPD
mod_fcgi
Nginx cgi script
Tomcat
Erlang HTTP Server
YAWS
HHVM FastCGI

Összefoglaló

A httpoxy egy kritikus kockázati besorolású, egyes Common Gateway Interface (CGI) környezetben futó, szerver-oldali HTTP kliens programkönyvtárakat sújtó probléma, amelyet kihasználva a támadó képes lehet MitM (man-in-the-middle) támadásokat végrehajtani vagy szolgáltatásmegtagadást okozni a támadott rendszeren.

Leírás

A probléma hátterében egy névütközés áll, egyes programnyelvek (PHP, Python, Go) nem megfelelően kezelik a HTTP kérések ‘HTTP Proxy‘ fejlécét és CGI környezeti globális változóként proxy szerver beállítására használják (‘HTTP_PROXY‘) kimenő forgalom esetében. A támadó ily módon eltérítheti az alkalmazás által indított HTTP forgalmat egy tetszőleges proxy szerver felé és lehallgathatja azt.

UPDATE 2016.07.21.

A PHP új verziója (7.0.9) már nem sérülékeny.

Megoldás

  1. Ahol elérhető (pl.: PHP), a gyártói javítások telepítése.
  2. Globálisan alkalmazható megkerülő megoldás: a Proxy fejléc letiltása, amelyről bővebb információ a httpoxy dedikált oldalon (#fix-now alatt) található.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: httpoxy.org
Egyéb referencia: httpoxy.org
Egyéb referencia: seclists.org
Egyéb referencia: www.drupal.org
Egyéb referencia: github.com
Egyéb referencia: security-tracker.debian.org
CVE-2016-5385 - NVD CVE-2016-5385
CVE-2016-5386 - NVD CVE-2016-5386
CVE-2016-5387 - NVD CVE-2016-5387
CVE-2016-5388 - NVD CVE-2016-5388

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »