HTTPoxy - ¿Se ha afectado mi Apache mod_cgi?

Solution Verified - Updated -

Environment

Red Hat Enterprise Linux 4.x
Red Hat Enterprise Linux 5.x
Red Hat Enterprise Linux 6.x
Red Hat Enterprise Linux 7.x
Red Hat Software Collections para Red Hat Enterprise Linux 6 y 7
Red Hat JBoss Web Server 1.x
Red Hat JBoss Web Server 2.x
Red Hat JBoss Web Server 3.x
Red Hat JBoss Enterprise Application Platform 5.x
Red Hat JBoss Enterprise Application Platform 6.x

Issue

Este incidente se presenta cuando está utilizando mod_cgi de Apache httpd con PHP, Python, Go y posiblemente otros lenguajes. Si su script CGI abre una conexión de red para otro servicio, cualquier solicitud saliente que se genere de la solicitud original del atacante hacia el script CGI puede ser redirigida a un proxy controlado por el atacante. Esto permite a los atacantes ver información confidencial, responder datos malformados o mantener las conexiones abiertas ocasionando en potencia una negación de servicio.

Resolution

Para abordar este problema, httpd fue modificado para no exportar el valor del encabezado del Proxy HTTP al entorno de script CGI. Consulte la pestaña "Resolve" del nombre del artículo de vulnerabilidad HTTPoxy - CGI "HTTP_PROXY" clash para obtener la lista de las erratas httpd para varios productos Red Hat que incorporan el cambio.

También puede abordar este problema a través de la configuración httpd, mediante el módulo de extensión `mod_headers con la siguiente configuración:

    RequestHeader unset Proxy

Este parámetro hace que httpd anule el encabezamiento Proxy de la solicitud HTTP antes de inicializar el entorno CGI. Consulte Apache - Mod Headers para obtener más información sobre la directiva de configuración RequestHeader.

Root Cause

Consulte HTTPoxy - CGI "HTTP_PROXY" variable name clash para obtener más información.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.