Abo
  • Services:
Anzeige
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies.
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor/CC0 1.0)

HTTPOXY: Gefährliche Proxy-Variablen

Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies.
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor/CC0 1.0)

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

Durch das trickreiche Zusammenspiel einer Eigenschaft des CGI-Standards und der Konfiguration von Proxy-Servern über Umgebungsvariablen entsteht eine problematische Sicherheitslücke. Entwickler des Zahlungsdienstleisters Vend stießen auf dieses Problem in der PHP-Bibliothek Guzzle - sie mussten jedoch feststellen, dass es auch in vielen anderen Anwendungen auftreten kann und bereits 2001 an einigen Stellen behoben wurde. Die Lücke bekam von ihren erneuten Entdeckern den Namen HTTPOXY.

Anzeige

Headerinhalte in Variablen mit Prefix HTTP_

Der CGI-Standard sieht vor, dass ein Webserver den Inhalt von Headern, die der Client mit dem HTTP-Request schickt, in Umgebungsvariablen ablegt. Diese werden mit dem Prefix HTTP_ und dem Namen des Headers in Großbuchstaben bezeichnet. Schickt ein Client beispielsweise einen Header Foo: Bar, dann ist im CGI-Prozess anschließend die Variable HTTP_FOO auf den Wert Bar gesetzt.

Viele Programme nutzen die Variable HTTP_PROXY, um über sie einen Proxyserver zu konfigurieren. Hier tritt nun das Problem auf: Ein Angreifer kann schlicht einen Request mit dem Header Proxy: schicken und dort seinen eigenen Proxyserver hinterlegen. Wenn die Webanwendung nun einen HTTP-Request ausführt, der die HTTP_PROXY-Variable berücksichtigt, wird dieser Request über den Proxyserver des Angreifers geleitet. Dieser kann dann nach Belieben eigene Daten zurückliefern oder auch möglicherweise Zugangsdaten für APIs abgreifen.

Erste Erwähnung der Lücke 2001

Die älteste Erwähnung dieser Lücke erfolgte mit der Veröffentlichung einer neuen Version der Bibliothek libwww-perl im Jahr 2001. Die Entwickler dieser Bibliothek erkannten das Problem und änderten daraufhin den Variablennamen, mit dem der HTTP-Proxy gesteuert werden kann, auf CGI_HTTP_PROXY. Im selben Jahr wurde das Problem auch in Curl entdeckt, dort behalf man sich, indem man die Variable nur noch in Kleinschreibung - also geschrieben "http_proxy" - akzeptierte. 2012 wurde auch in Ruby ein Workaround für das Problem eingeführt.

Bemerkenswert: Obwohl die selbe Lücke in drei verschiedenen Anwendungen entdeckt und behoben wurde, erkannte offenbar niemand das Ausmaß. Denn das Problem ist ein grundsätzliches. Alle über CGI ausgeführten Webanwendungen, die ihrerseits für HTTP-Requests Bibliotheken oder Programme nutzen, welche die Standardvariable HTTP_PROXY unterstützen, sind verwundbar. Konkret beschreiben die HTTPOXY-Entdecker Konstellationen in PHP, Python und Go, in denen die Lücke auftreten kann.

HTTPS hilft

Einen gewissen Schutz vor der Lücke bietet der konsequente Einsatz von HTTPS. Wird von einer Webanwendung ein Request an eine HTTPS-Adresse geschickt, kann ein Angreifer diese zwar möglicherweise ebenfalls über seinen Proxy leiten, aber mitlesen oder manipulieren ist dann nicht möglich. Voraussetzung dafür ist allerdings, dass das HTTPS-Zertifikat korrekt geprüft wird.

Als schnelle Abhilfe empfehlen die Entdecker der Lücke, den Proxy-Header im Webserver zu filtern oder entsprechende Requests nicht zu beantworten. Entsprechende Konfigurationsoptionen für die gängigsten Webserver sind auf der HTTPOXY-Seite aufgeführt. Da dieser Header nirgendwo legitim eingesetzt wird, sollten dadurch keine Probleme auftreten.


eye home zur Startseite
hackie 19. Jul 2016

Hast recht. Das Zertifikat muss natürlich noch immer den korrekten Namen tragen, das kam...

v2nc 19. Jul 2016

Glaube nicht dass dein Windows da irgendwas mit zu tun hat ;)



Anzeige

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. Robert Bosch GmbH, Abstatt
  4. Der Polizeipräsident in Berlin, Berlin


Anzeige
Spiele-Angebote
  1. 24,99€
  2. 15,99€

Folgen Sie uns
       


  1. SuperSignal

    Vodafone Deutschland schaltet Smart-Cells ab

  2. Top Gun 3D

    Mit VR-Headset kostenlos ins Kino

  3. Übernahme

    Marvell kauft Cavium für 6 Milliarden US-Dollar

  4. Wilhelm.tel

    Weiterer Kabelnetzbetreiber schaltet Analog-TV ab

  5. Grafiktreiber

    AMDs Display-Code in Linux-Kernel aufgenommen

  6. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung

  7. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  8. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  9. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  10. The Update Aquatic

    Minecraft bekommt Klötzchendelfine



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: Tesla Model 3 ist 100x besser

    Jolla | 22:16

  2. mit 136 PS nur 155 Km/h?

    User_x | 22:16

  3. Re: Öhm. Wieso

    uschatko | 22:14

  4. Re: Lags am Familiennachzug?

    quineloe | 22:09

  5. Re: Bei knapp 1 Million Wohnungslosen

    Garrona | 22:08


  1. 17:26

  2. 17:02

  3. 16:21

  4. 15:59

  5. 15:28

  6. 15:00

  7. 13:46

  8. 12:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel