HTTPoxy - Ist mein Apache mod_fcgid betroffen?
Environment
Red Hat Enterprise Linux 7.x
Issue
Dieses Problem tritt auf, wenn Sie mod_fcgid mit PHP, Python, Go und möglicherweise anderen Sprachen verwenden. Wenn Ihr FastCGI Skript eine HTTP-Verbindung zu einem anderen Service öffnet, können ausgehende Anfragen, die von der Originalanfrage des Angreifers erzeugt wurden, auf einen Proxy umgeleitet werden, der vom Angreifer kontrolliert wird.
Resolution
Zur Problembehandlung installieren Sie die aktualisierte Version von httpd, oder verwenden Sie das Erweiterungsmodul mod_headers
, um den Proxy-Header aus eingehenden HTTP-Anfragen zu entfernen. Unter HTTPoxy - Ist mein Apache mod_cgi betroffen? finden Sie weitere Details.
Beachten Sie, dass wenn die FcgidPassHeader Proxy
Konfigurationsdirektive in der mod_fcgid Konfiguration verwendet wird. Die Variable HTTP_PROXY
mit dem Wert des Proxy-Anfrage Headers ist immer noch für FastCGI-Skripte zugänglich, auch wenn aktualisierte httpd-Pakete installiert sind. Stellen Sie daher sicher, dass die oben erwähnte Konfigurationsdirektive nicht in der mod_fcgid Konfiguration verwendet wird und der Fehler komplett behoben werden kann.
Root Cause
Weitere Informationen finden Sie unter HTTPoxy - CGI "HTTP_PROXY" Variablenname kollidiert.
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments