漏洞描述
近日,爆出httpoxy漏洞,该漏洞主要存在于apache等组件中,原理是将HTTP头部的Proxy字段名变换为“HTTP_PROXY”,Value值不变,并传递给对应的CGI来执行。如果CGI或者脚本中使用对外请求的组件依赖的是“HTTP_PROXY”这个环境变量,那就可能被污染,并导致相关数据被牵引至入侵者设定的代理服务器从而引发泄露。
影响范围
此漏洞将会使受到影响的web服务器代理配置遭到污染,引发数据被监听的后果。但根据目前的情况来看,需要结合用户真实环境对Proxy 环境变量的调用来确定危害的等级,如果用户仅仅是用来做简单的代理请求,那么会发生敏感信息泄露。
目前漏洞有以下几种利用方式:
官方问题版本及修复方案
1、目前REDHAT官网已经给出此漏洞的修复建议,可参考此站点对漏洞进行修复:
https://access.redhat.com/security/vulnerabilities/httpoxy
2、修改相关代码严格过滤服务器对外请求
3、安恒风暴中心玄武盾最新策略已经支持此漏洞的防御,同时,也可使用明御WEB应用防火墙,已经部署使用的用户需要更新到最新版本的规则