HTTpoxy缺陷在15年后开心福利彩票重新出现并得到修复

有些瑕疵比其他瑕疵需要更长的时间才能得到修复。新命名的HTTpoxy漏洞最早于2001年3月被发现,并以开源Perl编程语言修复,但在7月18日之前它已经在多种其他语言和应用程序中处于休眠状态。

HTTPoxy漏洞是通用网关接口(CGI)环境脚本常用的HTTP_PROXY变量中的错误配置漏洞。HTTPoxy漏洞可能会在服务器上启用可远程利用的漏洞,使攻击者能够运行代码或重定向流量。其核心缺陷是开心福利彩票名为HTTPProxy的服务器变量的两种不同用途之间的名称空间冲突。

“有一个称为”HTTP_PROXY“的通用系统环境变量,可用于通信对于应用程序的传出HTTP代理的HTTP(有时是HTTPS)代理设置,“RedHat在其关于HTTpoxy的咨询中解释道。“此变量与HTTP服务器脚本变量的目的和上下文完全不同。”

RedHat的咨询说明应用程序,语言库和脚本模块使用HTTP服务器脚本环境变量来帮助配置后续传出HTTP流量的代理。风险在于,由于这两个变量可能会混淆,攻击者可能会重定向服务器与任意位置的传出连接。HTTpoxy漏洞产生了广泛的影响,开源的PHP,Go,Python和HVVM语言以及ApacheHTTP和Tomcat服务器都处于危险之中。由于无数的应用程序依赖于这些语言和服务器,因此应用程序项目也有多个更新,包括流行的Drupal开源内容管理系统,该系统为许多美国政府网站提供支持,包括Whitehouse.gov。

进一步阅读Brinqa如何为网络风险提供切实可行的见解......Splunk与LogRhythm:SIEM正面交锋红帽产品安全计划管理经理ChristopherRobinson解释说,HTTpoxy问题于2001年首次发现并修复在Perl库中。Perl是一种流行的开源编程语言。

“安全世界在2001年有点不同。看待问题具有广泛影响并不常见,”Robinson告诉eWEEK。“今天,有大量安全研究人员以前所未有的方式调查问题。”

罗宾逊补充说,2001开心福利彩票年的网络应用程序也大不相同,而且往往更加单一化。服务器端的HTTP请求在完成客户端请求时也不常见。今天,它是一个与分布式应用程序和微服务不同的世界。

“在这个问题的最坏情况下,攻击者可能会将传出的HTTP流量从CGI脚本重定向到其他服务器,“Robinson说。”这可能会导致CGI脚本和HTTP服务器之间发送的请求和响应中包含的敏感信息泄露。“

<那就是说,罗宾逊强调在Linux上,大多数Web应用程序都是如此o长期作为CGI脚本运行,这意味着它们不容易受到此类攻击。

Card.com和Drupal安全团队成员的工程总监GregKnaddison指出,对于大多数Drupal站点,HTTpoxy是可能只是一个“极端情况”的风险。

“研究这个问题的Drupal安全团队的成员能够想到一些方案可以让坚定的攻击者完全接管一个网站,”Knaddison告诉eWEEK。“他们中的大多数都涉及将Guzzle库中的HTTPoxy漏洞串联起来以实现破坏或跨站点脚本攻击。”

上一篇:KareenaKapoor和KatrinaKaif在同一天发行电影! 下一篇:没有了

本文URL:http://www.hisbig.com/jianshenqicai/wotuiqi/201909/3464.html

Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。