Ochrona przed luką – HTTPoxy

Przed kilkoma godzinami pojawiła się dość groźna luka nazwana Httpoxy na którą podatne są środowiska web działające w oparciu CGI/FastCGI. Podatność stwierdzono dla języków PHP, Python i GO.

Przypisane zostały jej numery CVE:

  • CVE-2016-5385: PHP
  • CVE-2016-5386: Go
  • CVE-2016-5387: Apache HTTP Server
  • CVE-2016-5388: Apache Tomcat
  • CVE-2016-1000109: HHVM
  • CVE-2016-1000110: Python

Powstała też  strona dokładnie opisująca lukę oraz cały czas aktualizowany artykuł na na stronie Cert.

Na poziomie systemu możemy poradzić sobie z luką poprzez edycje konfiguracji:

NGINX:

Dodajemy do pliku: /etc/nginx/fastcgi_params lub bezpośrednio w konfiguracji PHP vhosta:

fastcgi_param HTTP_PROXY „”;

a jeżeli używamy modułu proxy:

proxy_set_header Proxy „”;

APACHE:

Dodajemy zmienną odwołującą  się do modułu headers ( dla Debian można uaktywnić moduł poleceniem: a2enmod headers ):

RequestHeader unset Proxy early

lub w przypadku gdy korzystamy z mod_security:

SecRule &REQUEST_HEADERS:Proxy „@gt 0” „id:1000005,log,deny,msg:’httpoxy denied'”

HAPROXY:

Dodajemy do konfiguracji:

http-request del-header Proxy

VARNISH:

Dodajemy do sekcji vcl_recv:

unset req.http.proxy;

 

Gdyby były pytania/problemy zapraszamy do kontaktu.