近日，国外安全研究人员Dominic Scheirlinck披露了有关“httpoxy”的安全漏洞的情况，该漏洞主要影响CGI应用程序或CGI环境。攻击者可以利用该漏洞将用户请求代理到想要的地址，并可以伪造、监听、篡改正常用户的请求。危害范围广，引发一定关注。各大官网针对此漏洞发布了解决方案。国家信息安全漏洞库（CNNVD）对此进行了跟踪分析。初步分析情况如下：

一、漏洞简介

       运行在公共网关接口（Common Gateway Interface，CGI）或CGI-like环境下的多个Web服务器中存在安全漏洞，该漏洞源于客户端请求Proxy header值作为HTTP_PROXY环境变量。攻击者可利用该漏洞实施中间人攻击，指引服务器发送连接到任意主机。受影响产品包括：Apache HTTP Server，Apache Tomcat Server，Go Programming Language，HAProxy，Python，PHP，Go，Nginx/FastCGI。

       具体漏洞情况如下：

二、漏洞危害

       由于CGI和CGI-like 接口定义环境变量值为HTTP_*，许多Web应用程序平台使用CGI接口连接应用程序和Web服务器。用户可以创建任意环境变量（以HTTP_为前缀）发送请求。一些平台提供环境变量，如PHP“$_SERVER”全局变量。应用程序库配置的环境变量，这些库通常支持调用HTTP Proxy功能。

       攻击者通过设置HTTP_PROXY环境变量的值利用该漏洞进行监听，伪造和篡改。直接让服务器连接到攻击者所选择的地址和端口，强制用户使用恶意的代理绑定服务器资源。

三、修复措施

       目前，各大官方网站并没有给出相关的修复补丁，只有临时的解决办法，详细参考链接：

       1、Red Hat：https://access.redhat.com/security/vulnerabilities/httpoxy

       2、Apache Software Foundation：https://www.apache.org/security/asf-httpoxy-response.txt

       3、Microsoft advisory KB3179800：https://support.microsoft.com/en-us/kb/3179800

       4、nginx：https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/

       5、Drupal：https://www.drupal.org/SA-CORE-2016-003

       6、Fastly：https://www.fastly.com/security-advisories/vulnerability-use-httpproxy-cgi

       CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD及时联系。

       联系方式：[email protected]。