httpoxy sérülékenység
Angol cím: 
httpoxy vulnerability
CERT-Hungary ID: 
CH-13419
Felfedezés dátuma: 
2016-07-19
Összefoglaló: 

A httpoxy egy kritikus kockázati besorolású, egyes Common Gateway Interface (CGI) környezetben futó, szerver-oldali HTTP kliens programkönyvtárakat sújtó probléma, amelyet kihasználva a támadó képes lehet MitM (man-in-the-middle) támadásokat végrehajtani vagy szolgáltatásmegtagadást okozni a támadott rendszeren.

Leírás: 

A probléma hátterében egy névütközés áll, egyes programnyelvek (PHP, Python, Go) nem megfelelően kezelik a HTTP kérések 'HTTP Proxy' fejlécét és CGI környezeti globális változóként proxy szerver beállítására használják ('HTTP_PROXY') kimenő forgalom esetében. A támadó ily módon eltérítheti az alkalmazás által indított HTTP forgalmat egy tetszőleges proxy szerver felé és lehallgathatja azt.

UPDATE 2016.07.21.

A PHP új verziója (7.0.9) már nem sérülékeny.

Megoldás: 
  1. Ahol elérhető (pl.: PHP), a gyártói javítások telepítése.
  2. Globálisan alkalmazható megkerülő megoldás: a Proxy fejléc letiltása, amelyről bővebb információ a httpoxy dedikált oldalon (#fix-now alatt) található.
Érintett verziók: 
PHP - Guzzle 4.0.0rc2 (és későbbi verziók)
Go - net/http package
Python - wsgiref.handlers.CGIHandler, twisted.web.twcgi.CGIScript

Minden olyan webszerver potenciálisan sérülékeny lehet, ami CGI környezetben a fenti összetevőket implementálja.

Az eddigi információk alapján:
Apache HTTPD
mod_fcgi
Nginx cgi script
Tomcat
Erlang HTTP Server
YAWS
HHVM FastCGI