Abo
  • Services:
Anzeige
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies.
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor/CC0 1.0)

HTTPOXY: Gefährliche Proxy-Variablen

Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies.
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor/CC0 1.0)

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

Durch das trickreiche Zusammenspiel einer Eigenschaft des CGI-Standards und der Konfiguration von Proxy-Servern über Umgebungsvariablen entsteht eine problematische Sicherheitslücke. Entwickler des Zahlungsdienstleisters Vend stießen auf dieses Problem in der PHP-Bibliothek Guzzle - sie mussten jedoch feststellen, dass es auch in vielen anderen Anwendungen auftreten kann und bereits 2001 an einigen Stellen behoben wurde. Die Lücke bekam von ihren erneuten Entdeckern den Namen HTTPOXY.

Anzeige

Headerinhalte in Variablen mit Prefix HTTP_

Der CGI-Standard sieht vor, dass ein Webserver den Inhalt von Headern, die der Client mit dem HTTP-Request schickt, in Umgebungsvariablen ablegt. Diese werden mit dem Prefix HTTP_ und dem Namen des Headers in Großbuchstaben bezeichnet. Schickt ein Client beispielsweise einen Header Foo: Bar, dann ist im CGI-Prozess anschließend die Variable HTTP_FOO auf den Wert Bar gesetzt.

Viele Programme nutzen die Variable HTTP_PROXY, um über sie einen Proxyserver zu konfigurieren. Hier tritt nun das Problem auf: Ein Angreifer kann schlicht einen Request mit dem Header Proxy: schicken und dort seinen eigenen Proxyserver hinterlegen. Wenn die Webanwendung nun einen HTTP-Request ausführt, der die HTTP_PROXY-Variable berücksichtigt, wird dieser Request über den Proxyserver des Angreifers geleitet. Dieser kann dann nach Belieben eigene Daten zurückliefern oder auch möglicherweise Zugangsdaten für APIs abgreifen.

Erste Erwähnung der Lücke 2001

Die älteste Erwähnung dieser Lücke erfolgte mit der Veröffentlichung einer neuen Version der Bibliothek libwww-perl im Jahr 2001. Die Entwickler dieser Bibliothek erkannten das Problem und änderten daraufhin den Variablennamen, mit dem der HTTP-Proxy gesteuert werden kann, auf CGI_HTTP_PROXY. Im selben Jahr wurde das Problem auch in Curl entdeckt, dort behalf man sich, indem man die Variable nur noch in Kleinschreibung - also geschrieben "http_proxy" - akzeptierte. 2012 wurde auch in Ruby ein Workaround für das Problem eingeführt.

Bemerkenswert: Obwohl die selbe Lücke in drei verschiedenen Anwendungen entdeckt und behoben wurde, erkannte offenbar niemand das Ausmaß. Denn das Problem ist ein grundsätzliches. Alle über CGI ausgeführten Webanwendungen, die ihrerseits für HTTP-Requests Bibliotheken oder Programme nutzen, welche die Standardvariable HTTP_PROXY unterstützen, sind verwundbar. Konkret beschreiben die HTTPOXY-Entdecker Konstellationen in PHP, Python und Go, in denen die Lücke auftreten kann.

HTTPS hilft

Einen gewissen Schutz vor der Lücke bietet der konsequente Einsatz von HTTPS. Wird von einer Webanwendung ein Request an eine HTTPS-Adresse geschickt, kann ein Angreifer diese zwar möglicherweise ebenfalls über seinen Proxy leiten, aber mitlesen oder manipulieren ist dann nicht möglich. Voraussetzung dafür ist allerdings, dass das HTTPS-Zertifikat korrekt geprüft wird.

Als schnelle Abhilfe empfehlen die Entdecker der Lücke, den Proxy-Header im Webserver zu filtern oder entsprechende Requests nicht zu beantworten. Entsprechende Konfigurationsoptionen für die gängigsten Webserver sind auf der HTTPOXY-Seite aufgeführt. Da dieser Header nirgendwo legitim eingesetzt wird, sollten dadurch keine Probleme auftreten.


eye home zur Startseite
hackie 19. Jul 2016

Hast recht. Das Zertifikat muss natürlich noch immer den korrekten Namen tragen, das kam...

v2nc 19. Jul 2016

Glaube nicht dass dein Windows da irgendwas mit zu tun hat ;)



Anzeige

Stellenmarkt
  1. über Hays AG, Raum Würzburg, Mannheim
  2. Bundeskriminalamt, Wiesbaden
  3. Haufe Group, Freiburg
  4. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  2. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  3. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  4. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  5. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  6. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  7. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre

  8. Deutsche Telekom

    Huawei und Intel zeigen Interoperabilität von 5G

  9. Lebensmittel-Lieferservices

    Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"

  10. Fertigungstechnik

    Intel steckt Kobalt und 4,5 Milliarden US-Dollar in Chips



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Raven Ridge AMD verschickt CPUs für UEFI-Update
  2. Krypto-Mining AMDs Threadripper schürft effizient Monero
  3. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

  1. Re: Besteht denn abseits von Großstadt-Hipstern...

    AntiiHeld | 00:46

  2. Re: nur Windows 10, nur Windows Store?

    MoonShade | 00:43

  3. Re: Ok, also das Handy nicht im Kühlschrank laden

    HerrMannelig | 00:38

  4. Re: Ich behaupte das Gegenteil...

    Neuro-Chef | 00:35

  5. Re: Neue Programmiersprachen?

    lestard | 00:30


  1. 00:27

  2. 18:27

  3. 18:09

  4. 18:04

  5. 16:27

  6. 16:00

  7. 15:43

  8. 15:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel