Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

HTTPoxy - est-ce que mon Apache mod_cgi est affecté ?

Solution Verified - Updated -

Environment

Red Hat Enterprise Linux 4.x
Red Hat Enterprise Linux 5.x
Red Hat Enterprise Linux 6.x
Red Hat Enterprise Linux 7.x
Red Hat Software Collections for Red Hat Enterprise Linux 6 and 7
Red Hat JBoss Web Server 1.x
Red Hat JBoss Web Server 2.x
Red Hat JBoss Web Server 3.x
Red Hat JBoss Enterprise Application Platform 5.x
Red Hat JBoss Enterprise Application Platform 6.x

Issue

Ce problème peut survenir lorsque vous utilisez Apache httpd [mod_cgi] (https://access.redhat.com/solutions/34735) avec PHP, Python, Go et éventuellement d’autres langages informatiques. Si votre script CGI ouvre une connexion réseau à un autre service, toute requête sortante générée à partir de la requête d'origine de l'attaquant peut être redirigée vers un proxy contrôlée par l'attaquant. Cela permet aux attaquants de voir des informations potentiellement sensibles, de répondre avec des données incorrectes ou de garder des connexions ouvertes entraînant un refus de service éventuel.

Resolution

Pour régler ce problème, httpd a été modifié de façon à ne pas pouvoir exporter la valeur de l'en-tête Proxy HTTP dans l'environnement CGI. Voir l'onglet « Solution » de l'article sur la vulnérabilité HTTPoxy - CGI "HTTP_PROXY" variable name clash pour trouver la liste des errata httpd des divers produits Red Hat qui incorporent le changement.

Alternativement, le problème peut être réglé par la configuration httpd, en utilisant le module d'extension « mod_headers » avec la configuration suivante :

    RequestHeader unset Proxy

Cette configuration amène le httpd à annuler la définition de l'en-tête Proxy de la requête HTTP entrante avant d'initialiser l'environnement CGI. Voir Apache - Mod Headers pour obtenir plus d'informations sur la directive de la directive de configuration de « RequestHeader ».

Root Cause

Voir HTTPoxy - CGI "HTTP_PROXY" variable name clash pour plus d'informations.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments