HTTPoxy - O meu Apache mod_cgi foi afetado?
Environment
Red Hat Enterprise Linux 4.x
Red Hat Enterprise Linux 5.x
Red Hat Enterprise Linux 6.x
Red Hat Enterprise Linux 7.x
Red Hat Software Collections para Red Hat Enterprise Linux 6 e 7
Red Hat JBoss Web Server 1.x
Red Hat JBoss Web Server 2.x
Red Hat JBoss Web Server 3.x
Red Hat JBoss Enterprise Application Platform 5.x
Red Hat JBoss Enterprise Application Platform 6.x
Issue
Este problema acontece quando você está usando mod_cgi do httpd Apache com PHP, Python, Go e possivelmente outras linguagens. Se seu script CGI abre uma conexão de rede para outro serviço, todas as solicitações enviadas, geradas da solicitação original dos invasores, podem ser redirecionadas para um proxy controlado pelo invasor. Isto permite que os invasores visualizem informações potencialmente confidenciais, respondam com dados malformados ou mantenham conexões abertas, causando uma possível negação de serviço.
Resolution
Para tratar esse problema, o httpd foi modificado para não exportar o valor do cabeçalho HTTP Proxy para o ambiente do script CGI. Consulte a aba "Resolução" do artigo sobre a vulnerabilidade HTTPoxy - Conflito de nome da variável "HTTP_PROXY" em CGI para obter a lista de erratas httpd dos vários produtos Red Hat que incorporam essa mudança.
Alternativamente, esse problema pode ser tratado através da configuração httpd, usando o módulo de extensãomod_headers
com a seguinte configuração:
RequestHeader unset Proxy
Esta configuração faz com o httpd remova a definição do cabeçalho Proxy da solicitação HTTP recebida antes de inicializar o ambiente CGI. Consulte Apache - Mod Headers para mais informações sobre a diretiva de configuraçãoRequestHeader
.
Root Cause
Consulte HTTPoxy - Conflito de nome da variável "HTTP_PROXY" em CGI para mais informações.
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments