httpoxy sérülékenység

2016. július 19. 10:43

CH azonosító

CH-13419

Angol cím

httpoxy vulnerability

Felfedezés dátuma

2016.07.18.

Súlyosság

Kritikus

Érintett rendszerek

PHP
Python Software Foundation

Érintett verziók

PHP - Guzzle 4.0.0rc2 (és későbbi verziók)
Go - net/http package
Python - wsgiref.handlers.CGIHandler, twisted.web.twcgi.CGIScript

Minden olyan webszerver potenciálisan sérülékeny lehet, ami CGI környezetben a fenti összetevőket implementálja.

Az eddigi információk alapján:
Apache HTTPD
mod_fcgi
Nginx cgi script
Tomcat
Erlang HTTP Server
YAWS
HHVM FastCGI

Összefoglaló

A httpoxy egy kritikus kockázati besorolású, egyes Common Gateway Interface (CGI) környezetben futó, szerver-oldali HTTP kliens programkönyvtárakat sújtó probléma, amelyet kihasználva a támadó képes lehet MitM (man-in-the-middle) támadásokat végrehajtani vagy szolgáltatásmegtagadást okozni a támadott rendszeren.

Leírás

A probléma hátterében egy névütközés áll, egyes programnyelvek (PHP, Python, Go) nem megfelelően kezelik a HTTP kérések ‘HTTP Proxy‘ fejlécét és CGI környezeti globális változóként proxy szerver beállítására használják (‘HTTP_PROXY‘) kimenő forgalom esetében. A támadó ily módon eltérítheti az alkalmazás által indított HTTP forgalmat egy tetszőleges proxy szerver felé és lehallgathatja azt.

UPDATE 2016.07.21.

A PHP új verziója (7.0.9) már nem sérülékeny.

Megoldás

Ahol elérhető (pl.: PHP), a gyártói javítások telepítése.
Globálisan alkalmazható megkerülő megoldás: a Proxy fejléc letiltása, amelyről bővebb információ a httpoxy dedikált oldalon (#fix-now alatt) található.