Abo
  • IT-Karriere:

HTTPOXY: Gefährliche Proxy-Variablen

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

Artikel veröffentlicht am , Hanno Böck
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies.
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor/CC0 1.0)

Durch das trickreiche Zusammenspiel einer Eigenschaft des CGI-Standards und der Konfiguration von Proxy-Servern über Umgebungsvariablen entsteht eine problematische Sicherheitslücke. Entwickler des Zahlungsdienstleisters Vend stießen auf dieses Problem in der PHP-Bibliothek Guzzle - sie mussten jedoch feststellen, dass es auch in vielen anderen Anwendungen auftreten kann und bereits 2001 an einigen Stellen behoben wurde. Die Lücke bekam von ihren erneuten Entdeckern den Namen HTTPOXY.

Headerinhalte in Variablen mit Prefix HTTP_

Stellenmarkt
  1. Kommunale Datenverarbeitung Oldenburg (KDO), Oldenburg
  2. Hasso-Plattner-Institut für Digital Engineering gGmbH, Potsdam

Der CGI-Standard sieht vor, dass ein Webserver den Inhalt von Headern, die der Client mit dem HTTP-Request schickt, in Umgebungsvariablen ablegt. Diese werden mit dem Prefix HTTP_ und dem Namen des Headers in Großbuchstaben bezeichnet. Schickt ein Client beispielsweise einen Header Foo: Bar, dann ist im CGI-Prozess anschließend die Variable HTTP_FOO auf den Wert Bar gesetzt.

Viele Programme nutzen die Variable HTTP_PROXY, um über sie einen Proxyserver zu konfigurieren. Hier tritt nun das Problem auf: Ein Angreifer kann schlicht einen Request mit dem Header Proxy: schicken und dort seinen eigenen Proxyserver hinterlegen. Wenn die Webanwendung nun einen HTTP-Request ausführt, der die HTTP_PROXY-Variable berücksichtigt, wird dieser Request über den Proxyserver des Angreifers geleitet. Dieser kann dann nach Belieben eigene Daten zurückliefern oder auch möglicherweise Zugangsdaten für APIs abgreifen.

Erste Erwähnung der Lücke 2001

Die älteste Erwähnung dieser Lücke erfolgte mit der Veröffentlichung einer neuen Version der Bibliothek libwww-perl im Jahr 2001. Die Entwickler dieser Bibliothek erkannten das Problem und änderten daraufhin den Variablennamen, mit dem der HTTP-Proxy gesteuert werden kann, auf CGI_HTTP_PROXY. Im selben Jahr wurde das Problem auch in Curl entdeckt, dort behalf man sich, indem man die Variable nur noch in Kleinschreibung - also geschrieben "http_proxy" - akzeptierte. 2012 wurde auch in Ruby ein Workaround für das Problem eingeführt.

Bemerkenswert: Obwohl die selbe Lücke in drei verschiedenen Anwendungen entdeckt und behoben wurde, erkannte offenbar niemand das Ausmaß. Denn das Problem ist ein grundsätzliches. Alle über CGI ausgeführten Webanwendungen, die ihrerseits für HTTP-Requests Bibliotheken oder Programme nutzen, welche die Standardvariable HTTP_PROXY unterstützen, sind verwundbar. Konkret beschreiben die HTTPOXY-Entdecker Konstellationen in PHP, Python und Go, in denen die Lücke auftreten kann.

HTTPS hilft

Einen gewissen Schutz vor der Lücke bietet der konsequente Einsatz von HTTPS. Wird von einer Webanwendung ein Request an eine HTTPS-Adresse geschickt, kann ein Angreifer diese zwar möglicherweise ebenfalls über seinen Proxy leiten, aber mitlesen oder manipulieren ist dann nicht möglich. Voraussetzung dafür ist allerdings, dass das HTTPS-Zertifikat korrekt geprüft wird.

Als schnelle Abhilfe empfehlen die Entdecker der Lücke, den Proxy-Header im Webserver zu filtern oder entsprechende Requests nicht zu beantworten. Entsprechende Konfigurationsoptionen für die gängigsten Webserver sind auf der HTTPOXY-Seite aufgeführt. Da dieser Header nirgendwo legitim eingesetzt wird, sollten dadurch keine Probleme auftreten.



Anzeige
Spiele-Angebote
  1. (-24%) 18,99€
  2. 2,40€
  3. 47,49€
  4. 2,99€

hackie 19. Jul 2016

Hast recht. Das Zertifikat muss natürlich noch immer den korrekten Namen tragen, das kam...

v2nc 19. Jul 2016

Glaube nicht dass dein Windows da irgendwas mit zu tun hat ;)


Folgen Sie uns
       


The Division 2 - Test

The Division 2 ist ein spektakuläres Spiel - und um einiges besser als der Vorgänger.

The Division 2 - Test Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
    Motorola One Vision im Hands on
    Smartphone mit 48-Megapixel-Kamera für 300 Euro

    Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
    Ein Hands on von Ingo Pakalski

    1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
    2. Smartphones Lenovo leakt neue Moto-G7-Serie

    Mobile-Games-Auslese: Games-Kunstwerke für die Hosentasche
    Mobile-Games-Auslese
    Games-Kunstwerke für die Hosentasche

    Cultist Simulator, Photographs, Dungeon Warfare 2 und mehr: Diesen Monat lockt eine besonders hochkarätige Auswahl an kniffligen, gruseligen und komplexen Games an die mobilen Spielgeräte.
    Von Rainer Sigl

    1. Spielebranche Auch buntes Spieleblut ist in China künftig verboten
    2. Remake Agent XIII kämpft wieder um seine Identität
    3. Workers & Resources im Test Vorwärts immer, rückwärts nimmer

      •  /