httpoxy: Trivial ausnutzbare Lücke leitet Server-Traffic um
Durch ein wieder entdecktes Sicherheitsproblem kann ein Angreifer ausgehenden Datenverkehr eines Servers umleiten und mitlesen. Dazu muss er lediglich einen bestimmten HTTP-Header an den Server schicken.
Eine auf den Namen httpoxy getaufte Schwachstelle erlaubt es Angreifern, den ausgehenden Traffic von Servern umzuleiten und mitzuschneiden.
Das Problem ist seit über fünfzehn Jahren bekannt, wurde bisher jedoch offensichtlich unterschätzt: Anders ist es kaum zu erklären, dass die Lücke nach wie vor in vielen Server-Konfigurationen klafft. Kern der Schwachselle ist die Umgebungsvariable HTTP_PROXY, aus der einige Anwendungen ihre Proxy-Konfiguration auslesen. Ein Angreifer kann diese Variable mit geringem Aufwand setzen und so bestimmten, ob und welchen Proxy die betroffenen Server-Anwendungen für ausgehenden Datenverkehr nutzen.
Variable Umleitung
Ursache des Übels ist eine in RFC 3875 spezifizierte Funktion des Common Gateway Interface (CGI), durch das Skript-Interpreter wie PHP, Python und Go an Webserver angebunden werden können. Die Spezifikation besagt, dass Header als Umgebungsvariablen mit dem Präfix HTTP_ gespeichert werden.
Sendet ein Angreifer einen HTTP-Header „Proxy“, wird eine Variable namens HTTP_PROXY mit dem Header-Wert angelegt. Der Wert könnte zum Beispiel die IP-Adresse eines Proxy-Servers sein. Wertet die Web-Anwendung diese Variable anschließend aus, versucht sie fortan, ausgehende Anfragen über den Proxy abzuwickeln. Das kann zum Beispiel die Kommunikation mit einer Web-API sein. Dabei können durchaus geheime Zugriffsschlüssel oder persönliche Daten von Nutzern durch die Leitung gehen.
Seit über fünfzehn Jahren bekannt
Erstmals entdeckt wurde das Problem im März 2001, nämlich in der Perl-Bibliothek libwww-perl. Im Laufe der nächsten fünfzehn Jahre ist es auch noch in curl, Ruby, nginx und Apache aufgetaucht. Zumindest im Fall von curl und Ruby wurde es beseitigt.
Kürzlich wurde es von Mitarbeitern der Software-Entwicklungsfirma vend wiederentdeckt und tiefergehend analysiert. Dabei zeigte sich, dass sich die Schwachstelle aktuell mit PHP, Python und Go in bestimmten Software-Konstellationen ausnutzen lässt. Betroffen sind ausschließlich Server, bei denen der Skript-Interpreter über das CGI angesprochen wird.
Details zu den verwundbaren Software-Konstellationen haben die vend-Mitarbeiter auf httpoxy.org zusammengestellt. Dort findet man auch eine Reihe von Schutzmaßnahmen: etwa die Empfehlung, den Header „Proxy“ so früh wie möglich zu blockieren oder den Einsatz von HTTPS für ausgehende Verbindungen Anfragen des Servers.
Quelle: http://heise.de/-3270546
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Dienstag, 19. Juli 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Dienstag, 19. Juli 2016
- Detlef: Professionelle Beratung. Man nahm s... Dienstag, 19. Juli 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Dienstag, 19. Juli 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Dienstag, 19. Juli 2016