HTTPOXY: Gefährliche Proxy-Variablen

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

Artikel veröffentlicht am , Hanno Böck
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies.
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor/CC0 1.0)

Durch das trickreiche Zusammenspiel einer Eigenschaft des CGI-Standards und der Konfiguration von Proxy-Servern über Umgebungsvariablen entsteht eine problematische Sicherheitslücke. Entwickler des Zahlungsdienstleisters Vend stießen auf dieses Problem in der PHP-Bibliothek Guzzle - sie mussten jedoch feststellen, dass es auch in vielen anderen Anwendungen auftreten kann und bereits 2001 an einigen Stellen behoben wurde. Die Lücke bekam von ihren erneuten Entdeckern den Namen HTTPOXY.

Headerinhalte in Variablen mit Prefix HTTP_

Stellenmarkt
  1. Salesforce Sales Cloud Consultant / Developer (m/w/d)
    Haufe Group, Freiburg
  2. (Senior)Berater (m/w/d) im Bereich Industrie 4.0 / Digitalisierung
    PROTEMA Unternehmensberatung GmbH, Stuttgart-Degerloch
Detailsuche

Der CGI-Standard sieht vor, dass ein Webserver den Inhalt von Headern, die der Client mit dem HTTP-Request schickt, in Umgebungsvariablen ablegt. Diese werden mit dem Prefix HTTP_ und dem Namen des Headers in Großbuchstaben bezeichnet. Schickt ein Client beispielsweise einen Header Foo: Bar, dann ist im CGI-Prozess anschließend die Variable HTTP_FOO auf den Wert Bar gesetzt.

Viele Programme nutzen die Variable HTTP_PROXY, um über sie einen Proxyserver zu konfigurieren. Hier tritt nun das Problem auf: Ein Angreifer kann schlicht einen Request mit dem Header Proxy: schicken und dort seinen eigenen Proxyserver hinterlegen. Wenn die Webanwendung nun einen HTTP-Request ausführt, der die HTTP_PROXY-Variable berücksichtigt, wird dieser Request über den Proxyserver des Angreifers geleitet. Dieser kann dann nach Belieben eigene Daten zurückliefern oder auch möglicherweise Zugangsdaten für APIs abgreifen.

Erste Erwähnung der Lücke 2001

Die älteste Erwähnung dieser Lücke erfolgte mit der Veröffentlichung einer neuen Version der Bibliothek libwww-perl im Jahr 2001. Die Entwickler dieser Bibliothek erkannten das Problem und änderten daraufhin den Variablennamen, mit dem der HTTP-Proxy gesteuert werden kann, auf CGI_HTTP_PROXY. Im selben Jahr wurde das Problem auch in Curl entdeckt, dort behalf man sich, indem man die Variable nur noch in Kleinschreibung - also geschrieben "http_proxy" - akzeptierte. 2012 wurde auch in Ruby ein Workaround für das Problem eingeführt.

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Bemerkenswert: Obwohl die selbe Lücke in drei verschiedenen Anwendungen entdeckt und behoben wurde, erkannte offenbar niemand das Ausmaß. Denn das Problem ist ein grundsätzliches. Alle über CGI ausgeführten Webanwendungen, die ihrerseits für HTTP-Requests Bibliotheken oder Programme nutzen, welche die Standardvariable HTTP_PROXY unterstützen, sind verwundbar. Konkret beschreiben die HTTPOXY-Entdecker Konstellationen in PHP, Python und Go, in denen die Lücke auftreten kann.

HTTPS hilft

Einen gewissen Schutz vor der Lücke bietet der konsequente Einsatz von HTTPS. Wird von einer Webanwendung ein Request an eine HTTPS-Adresse geschickt, kann ein Angreifer diese zwar möglicherweise ebenfalls über seinen Proxy leiten, aber mitlesen oder manipulieren ist dann nicht möglich. Voraussetzung dafür ist allerdings, dass das HTTPS-Zertifikat korrekt geprüft wird.

Als schnelle Abhilfe empfehlen die Entdecker der Lücke, den Proxy-Header im Webserver zu filtern oder entsprechende Requests nicht zu beantworten. Entsprechende Konfigurationsoptionen für die gängigsten Webserver sind auf der HTTPOXY-Seite aufgeführt. Da dieser Header nirgendwo legitim eingesetzt wird, sollten dadurch keine Probleme auftreten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Razer: Der erste Blade-Laptop mit Ryzen ist da
    Razer
    Der erste Blade-Laptop mit Ryzen ist da

    Wieder 14 Zoll, erstmals mit AMD-Chip: Das neue Razer Blade kombiniert einen 75-Watt-Ryzen mit der flottesten Geforce RTX.
    Ein Hands-on von Marc Sauter

  2. Selbständige: Vodafone mit neuen Tarifen ohne Preissteigerung
    Selbständige
    Vodafone mit neuen Tarifen ohne Preissteigerung

    Vodafone wird seine Preise in neuen Tarifen für Selbständige nach 24 Monaten nicht mehr anheben.

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

hackie 19. Jul 2016

Hast recht. Das Zertifikat muss natürlich noch immer den korrekten Namen tragen, das kam...

v2nc 19. Jul 2016

Glaube nicht dass dein Windows da irgendwas mit zu tun hat ;)


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /