httpoxy漏洞检测与处理

昨天凌晨爆出的Httpoxy漏洞，是一个针对在CGI（RFC 3875）或类似CGI上运行程序的漏洞，它可以将请求中的Header，加上HTTP_前缀，注册为环境变量来使用，Header中的Proxy字段的内容直接变成程序的“HTTP_PROXY”环境变量。（“HTTP_PROXY”是一个配置代理是常见的环境变量。）从而导致HTTP_PROXY被污染。

漏洞测试

1. Apache环境文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

1）在 /var/www/cgi-bin/ 目录下创建一个sec.cgi，并写入以下代码：文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

#!/bin/sh
echo "Content-Type:text/plan"
echo ""
echo "HTTP_PROXY='$HTTP_PROXY'"

并对文件授权 # chmod +x sec.cgi文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

2）请求qtsec.cgi文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

curl -H "Proxy: ttlsa.com" http://your-server-ip/cgi-bin/sec.cgi
HTTP_PROXY='ttlsa.com'

2. Nginx php-fpm环境文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

1）在 /nginx/html/ 目录下创建httpoxy.php，并写入以下代码：文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

<?php
$http_proxy = getenv("HTTP_PROXY");
echo $http_proxy;
?/>

2）请求httpoxy.php文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

curl -H "Proxy: ttlsa.com" http://your-server-ip/httpoxy.php
ttlsa.com

若返回 HTTP_PROXY=’ttlsa.com’ 则证明存在漏洞。文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

若返回 HTTP_PROXY=’’ 则证明不存在漏洞。文章源自运维生存时间-https://www.ttlsa.com/news/httpoxy-vulnerability-detection-and-treatment/

漏洞影响

PHP

这个漏洞影响取决于特定应用程序代码和调用的PHP库，但是问题普遍存在。

使用任意一个存在漏洞的库来处理用户请求，都是可被利用的。

如果调用了存在漏洞的PHP库，那么任意的PHP版本都将被影响。

Python

Python代码只有部署在CGI下运行才是存在漏洞的，通常情况下，有问题的代码都用CGI处理程序，例如，wsgiref.handlers.CGIHandler（大多数人使用的都是WSGI或FastCGI的，这两者都没有受到httpoxy的影响）。

存在漏洞的requests 库版本，将会直接信任并使用os.environ['HTTP_PROXY'] 获取的HTTP_PROXY，不会检查是否在使用CGI。

GO

GO语言的代码只有部署在CGI下运行才会存在漏洞，通常情况下，大多数存在漏洞的代码都是调用net/http/cgi 这个包。

除此之外还有如下及没有列举的程序存在Httpoxy漏洞隐患。

HHVM

Apache Tomcat Servers。

Disro–RHEL and CentOS and others。

总结一下，漏洞影响所有以CGI形式运行的程序并且程序代码在对外通信，就会存在httpoxy漏洞。

漏洞修复

1. Nginx/FastCGI

使用以下配置阻止请求头传给PHP-fpm，PHP-PM等等。

在 /nginx/nginx.conf 文件中将http_proxy 写入配置，如下

fastcgi_param HTTP_PROXY "";

在FastCGI的配置中，PHP是存在漏洞的，但是其他多数语言使用Nginx FastCGI都不在这个问题。

2. Apache

可以使用mod_headers来修复这个漏洞，阻止请求头中"Proxy:"字段。

在 /httpd/conf/http.conf 中，添加以下内容：

RequestHeader unset Proxy early

3. PHP

在代码中加入对sapi的判断，除非是cli模式，否则永远不要相信http_proxy环境变量。代码参考如下：

<?php
if (php_sapi_name() == 'cli' && getenv('HTTP_PROXY')) {
//只有CLI模式下, HTTP_PROXY环境变量才是可控的
}

4. HAProxy

脱离头部请求处理：

http-request del-header Proxy

5. Varnish

对于varnish的处理：

sub vcl_recv {
[...]
unset req.http.proxy;
[...]
}

6. OpenBSD relayd

对于relayd，删除头部并加上过滤器：

http protocol httpfilter {
match request header remove "Proxy"
}

总结

1. 避免将CGI的数据作为真实的环境变量来处理。

2. 任何CGI中的数据都是不可信的。

引用

https://httpoxy.org/

https://github.com/httpoxy

https://access.redhat.com/security/vulnerabilities/httpoxy