近日,国外安全研究人员Dominic Scheirlinck披露了有关“httpoxy”的安全漏洞的情况,该漏洞主要影响CGI应用程序或CGI环境。攻击者可以利用该漏洞将用户请求代理到想要的地址,并可以伪造、监听、篡改正常用户的请求。危害范围广,引发一定关注。各大官网针对此漏洞发布了解决方案。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析。初步分析情况如下:
一、漏洞简介
运行在公共网关接口(Common Gateway Interface,CGI)或CGI-like环境下的多个Web服务器中存在安全漏洞,该漏洞源于客户端请求Proxy header值作为HTTP_PROXY环境变量。攻击者可利用该漏洞实施中间人攻击,指引服务器发送连接到任意主机。受影响产品包括:Apache HTTP Server,Apache Tomcat Server,Go Programming Language,HAProxy,Python,PHP,Go,Nginx/FastCGI。
具体漏洞情况如下:
二、漏洞危害
由于CGI和CGI-like 接口定义环境变量值为HTTP_*,许多Web应用程序平台使用CGI接口连接应用程序和Web服务器。用户可以创建任意环境变量(以HTTP_为前缀)发送请求。一些平台提供环境变量,如PHP“$_SERVER”全局变量。应用程序库配置的环境变量,这些库通常支持调用HTTP Proxy功能。
攻击者通过设置HTTP_PROXY环境变量的值利用该漏洞进行监听,伪造和篡改。直接让服务器连接到攻击者所选择的地址和端口,强制用户使用恶意的代理绑定服务器资源。
三、修复措施
目前,各大官方网站并没有给出相关的修复补丁,只有临时的解决办法,详细参考链接:
1、Red Hat:https://access.redhat.com/security/vulnerabilities/httpoxy
2、Apache Software Foundation:https://www.apache.org/security/asf-httpoxy-response.txt
3、Microsoft advisory KB3179800:https://support.microsoft.com/en-us/kb/3179800
4、nginx:https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/
5、Drupal:https://www.drupal.org/SA-CORE-2016-003
6、Fastly:https://www.fastly.com/security-advisories/vulnerability-use-httpproxy-cgi
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD及时联系。
联系方式:[email protected]。
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论