httpoxy auf Uberspace

Posted by luto on Monday, July 18, 2016

Wie ihr sicherlich schon auf Hackernews oder anders wo gelesen habt, kursiert gerade eine “neue” Lücke für diverse GCI-Applikationen im Netz: httpoxy.

Konkret geht es darum, dass der Proxy-HTTP-Header des Clients aufgrund der CGI-Spezifikation in der Umgebungsvariable $HTTP_PROXY landet. Diese wird von unzähligen Applikationen dazu benutzt, Verbindungen nach außen aufzubauen. Somit hätte ein potentieller Angreifer die volle Kontrolle über diese Aufrufe, die zum Beispiel die API eines Zahlungsanbieters als Ziel haben können.

Als Reaktion darauf löschen wir jetzt in unserem HTTP/HTTPS-Frontend Pound den Proxy-Header aus jeder Anfrage:

# We don't want to fall for httpoxy (https://httpoxy.org/)
HeadRemove "^Proxy: "

Somit können Clients den Header nicht mehr übermitteln und ein Angriff ist nicht mehr möglich. Sollten diverse Entwickler zusätzlich noch tiefere Patches und Updates veröffentlichen werden wir diese natürlich - so wie immer - ausrollen.

Update 21.07.2016: Wir übergeben nun ^Proxy: als regulären Ausdruck an die HeadRemove-Direktive; zuvor hatten wir hier nur Proxy übergeben, was dann aber auch andere Vorkommen des Worts “Proxy” auch in anderen Headern ausgefiltert hat.