HTTPoxy - est-ce que mon Apache mod_fcgid est affecté ?
Environment
Red Hat Enterprise Linux 7.x
Issue
Ce problème a lieu si vous utilisez mod_fcgid avec PHP, Python, Go, ou d'autre langages informatiques. Si votre script CGI ouvre une connexion HTTP à un autre service, toute demande sortante générée à partir de la requête d'origine de l'attaquant peut être redirigée vers un proxy contrôlé par l'attaquant.
Resolution
Pour régler ce problème, installer la version httpd mise à jour, ou utiliser le module d'extension « mod_header » pour supprimer l'en-tête Proxy des requêtes HTTP entrantes. Voir la solution HTTPoxy - Is my Apache mod_cgi affected? pour plus d'informations.
Notez que lorsque la directive de configuration « FcgidPassHeader Proxy » est utilisée dans la configuration de mod_fcgid, la variable « HTTP_PROXY » contenant la valeur de l’en-tête Proxy de la requête sera encore disponible pour les scripts FastCGI même lorsque les packages de mise à jour httpd sont installées. Par conséquent, veiller à ce que la directive de configuration ci-dessus ne soit pas utilisée dans la configuration de mod_fcgid pour résoudre entièrement le problème.
Root Cause
Voir HTTPoxy - CGI "HTTP_PROXY" variable name clash pour plus d'informations.
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments