[News sécurité] Faille HTTProxy Vulnerability CVE-2016-5385, CVE-2016-5386, CVE-2016-5387, CVE-2016-5388.

Une série de vulnérabilités vient d’être rendue publique il y a peu. Cette dernière impactant les environnements de type CGI.

Que permet-elle ?

Bien exploitée cette dernière permettrait à une personne malintentionnée de récupérer des paquets destinés à un autre serveur.

Depuis quand existe-t-elle ?

La première découverte (et correctif) date de mars 2001 dans la librairie perl libwww puis ensuite dans curl et Ruby les années suivantes.

Pour enfin arriver en juillet 2016 ou la chose est enfin rendue publique (création des CVEs).

Vous pouvez trouver plus d’informations sur le lien suivant : https://httpoxy.org/#history

Comment vérifier si je suis impacté ?

L’impact de la faille dépend de plusieurs paramètres comme :

- L’exécution du code doit se faire dans un environnement de type CGI prenant en compte l’entête ‘Proxy’,

- Le client doit, lui aussi, prendre en compte l’entête ‘Proxy’ et utiliser la valeur de ce dernier comme étant son proxy,

Les cas avérés découvert concernent PHP (php-fpm et mod_php), python (wsgiref.handlers.CGIHandler et twisted.web.twcgi.CGIScript) et Go (net/http/cgi).

Vous pouvez trouver plus d’informations sur le lien suivant : https://httpoxy.org/#affected-summary

Comment la corriger ?

Certains services ne possèdent, pour le moment, pas encore de mise à jour permettant de corriger directement cette vulnérabilité.

Le correctif passe alors par la mise en place d’une configuration permettant de vider / retirer l’entête ‘Proxy’.

Vous pouvez trouver la liste ainsi que l’explication des configurations à mettre en place selon l’applicatif sur le lien suivant : https://httpoxy.org/#fix-now

Si vous disposez d'une prestation mutualisée ou en infogérance complète sachez que nos équipes ont déjà fait le nécessaire.

Sources: Site NGINX, Site httpoxy

Ajouter un commentaire