Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

HTTPoxy - Apache mod_cgi는 영향을 받습니까?

Solution In Progress - Updated -

Environment

Red Hat Enterprise Linux 4.x
Red Hat Enterprise Linux 5.x
Red Hat Enterprise Linux 6.x
Red Hat Enterprise Linux 7.x
Red Hat Software Collections (Red Hat Enterprise Linux 6 및 7)
Red Hat JBoss Web Server 1.x
Red Hat JBoss Web Server 2.x
Red Hat JBoss Web Server 3.x
Red Hat JBoss Enterprise Application Platform 5.x
Red Hat JBoss Enterprise Application Platform 6.x

Issue

본 문제는 PHP, Python, Go 및 기타 다른 언어와 Apache httpd의 mod_cgi를 사용할 때 발생합니다. CGI 스크립트가 다른 서비스로의 네트워크 연결을 오픈할 경우 공격자의 원래 요청에서 생성된 모든 나가는 요청에 대해 공격자가 제어하는 프록시로 전환될 수 있습니다. 이로 인해 공격자는 잠재적으로 중요한 정보를 확인하고, 잘못된 데이터로 응답하거나 서비스 거부의 원인이 되는 연결을 열 수 있습니다.

Resolution

이 문제를 해결하려면 CGI 스크립트 환경에 Proxy HTTP 헤더 값을 내보내지 않도록 httpd를 수정해야 합니다. 변경 사항이 통합된 다양한 Red Hat 제품에 대한 httpd 에라타 목록은 HTTPoxy - CGI에서 "HTTP_PROXY" 변수 이름 충돌 결함 문서의 "해결 방법" 탭에서 참조하십시오.

또는 이러한 문제는 다음과 같은 설정으로 mod_headers 확장 모듈을 사용하여 httpd 설정을 통해 해결할 수 있습니다:

    RequestHeader unset Proxy

이러한 설정으로 인해 httpd는 CGI 환경을 초기화하기 전에 들어오는 HTTP 요청에서 Proxy 헤더가 설정 해제될 수 있습니다. RequestHeader 설정 지시문에 대한 보다 자세한 내용은 Apache - Mod Headers에서 참조하십시오.

Root Cause

보다 자세한 내용은 HTTPoxy - CGI에서 "HTTP_PROXY" 변수 이름 충돌 결함에서 확인하십시오.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.