HTTPoxy - 我的 Apache mod_fcgid 会受影响吗?
Environment
Red Hat Enterprise Linux 7.x
Issue
如果您在 [mod_fcgid] 中使用 PHP、Python、Go 及其他语言时,则会受这个问题影响 (https://httpd.apache.org/mod_fcgid/)。如果您的 FastCGI 脚本为另一个服务打开网络连接,则所有攻击者原始请求生成的传出请求都会被依次重新指向攻击者控制的代理服务器。
Resolution
要解决这个问题,可按照 httpd 的更新版本,或使用 mod_headers 扩展模块删除传入 HTTP 请求中的 Proxy 标头。详情请查看 HTTPoxy - 我的 Apache mod_cgi 会受影响吗? 解决方案。
注:在 mod_fcgid 配置中使用 FcgidPassHeader Proxy配置指令时,HTTP_PROXY变量中来自代理服务器请求标头中的值将同样可用于 FastCGI 脚本,即使按照了更新的 httpd 软件包后也适用。因此,请确保在 mod_fcgid 配置中不使用上述配置指令就可以完全解决这个问题。
Root Cause
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments