Ochrona przed luką – HTTPoxy
Przed kilkoma godzinami pojawiła się dość groźna luka nazwana Httpoxy na którą podatne są środowiska web działające w oparciu CGI/FastCGI. Podatność stwierdzono dla języków PHP, Python i GO.
Przypisane zostały jej numery CVE:
- CVE-2016-5385: PHP
- CVE-2016-5386: Go
- CVE-2016-5387: Apache HTTP Server
- CVE-2016-5388: Apache Tomcat
- CVE-2016-1000109: HHVM
- CVE-2016-1000110: Python
Powstała też strona dokładnie opisująca lukę oraz cały czas aktualizowany artykuł na na stronie Cert.
Na poziomie systemu możemy poradzić sobie z luką poprzez edycje konfiguracji:
NGINX:
Dodajemy do pliku: /etc/nginx/fastcgi_params lub bezpośrednio w konfiguracji PHP vhosta:
fastcgi_param HTTP_PROXY „”;
a jeżeli używamy modułu proxy:
proxy_set_header Proxy „”;
APACHE:
Dodajemy zmienną odwołującą się do modułu headers ( dla Debian można uaktywnić moduł poleceniem: a2enmod headers ):
RequestHeader unset Proxy early
lub w przypadku gdy korzystamy z mod_security:
SecRule &REQUEST_HEADERS:Proxy „@gt 0” „id:1000005,log,deny,msg:’httpoxy denied'”
HAPROXY:
Dodajemy do konfiguracji:
http-request del-header Proxy
VARNISH:
Dodajemy do sekcji vcl_recv:
unset req.http.proxy;
Gdyby były pytania/problemy zapraszamy do kontaktu.