httpoxy

Recommended reading Summary What Is Affected Immediate Mitigation Prevention Interesting, but once you’ve mitigated How It Works Why It Happened History of httpoxy CVEs A CGI application vulnerability (in 2016) for PHP, Go, Python and others httpoxy is a set of vulnerabilities that affect application code running in CGI, or CGI-like environments. It comes down to a simple namespace conflict: RFC 3

[yosuke_furukawa]

Foo: Bar っていう header 送ったら CGI の spec 的には HTTP_Foo = Bar にしてくれるっていう仕様を突いて PROXY: xxx っていうheader送ると HTTP_PROXY書き換えられるんじゃねっていう脆弱性

[katryo]

大きめの脆弱性が見つかるたびにドメイン買ってページ作るのなんでなの

[tbsmcd]

pox = 疱瘡、梅毒だからブツブツしてんだな。

[koseki]

2001 から知られてたけどスルーされてたとか。そんなことあるんだ。。

[ono_matope]

キモい…

[Jxck]

CGI でリクエストの Proxy: foo を HTTP_PROXY=foo として保存してしまう単純明快な脆弱性。バグではなく CGI の仕様なので基本対策はリクエストの Proxy ヘッダのブロックが必要。

[naga_sawa]

HTTPヘッダとCGIの環境変数の変換仕様から出てくる脆弱性

[tanakh]

おっなるほど(´･_･`)

[k0yoshitsugu]

“A CGI application vulnerability”

[ebo-c]

ポーキーズみてぇな脆弱性だなぁ(ちんこかん)

[kontonb]

https://t.co/T1AlON2uQj

[rryu]

HTTP_PROXYという環境変数名はアレだから使うのをやめようみたいな話が昔あったような気がする。

[s025236]

少なくてもproxy的に使われちゃう可能性はあるけど、アプリケーションがGuzzleHttpの結果をそのまま返す事もあまりないので、使い勝手が悪い脆弱性な気もする。DoS攻撃に加担させられるくらいかな？

[MinazukiBakera]

httpoxyの話、環境変数 HTTP_PROXY を信頼していると Proxy: ヘッダを送出されたときに偽装されてしまうという話だと思いますが、ずっと昔に似たような話を聞いたような気がしますね。

[digitalglm]

https://t.co/JQ2BjZVYfD: https://t.co/JQ2BjZVYfD

[hamasyou_bot]

メモ: httpoxy

[izumin5210]

"found an instance of the bug in the wild" って「やせいの バグ が あらわれた！」くらいの意味ですか

[KeithYokoma]

oのカビ生えたみたいなブツブツが懲りすぎてキモいけど意味合いとしては間違ってない表現なのか

[gfx]

HTTP_PROXYでおきる脆弱性

[Akaza]

PHPの組み込み関数はHTTP_PROXYを見ないようなので、外部ライブラリ次第。

[migrant777]

まだこんな大物が出てくるとは。

[stealthinu]

えええ。なんでこんなの今まで表沙汰になってなかったんだろ？HTTP_PROXYパラメータを上書きしちゃう脆弱性。仕様的に問題があるため色んなのに影響あり。要影響範囲確認。

[W53SA]

CGI…

[ngyuki]

なんで今まで気づかなかったのか不思議案件

[urtz]

どうやら性感染症の梅毒のブツブツを表現しているらしい。画像検索して痒くなるという。http://dictionary.goo.ne.jp/ej/65942/meaning/m0u/

[love0hate]

なるほど

[kimutansk]

CGI系の実行環境下ではリモートからHTTP_PROXYの環境変数置き換えられる・・・て、確かに言われてみるとその通り。これはまずいか。

[teppeis]

こういうシンプルなのが今になって見つかるのおもしろい

[zetta1985]

poxy・・・

[matsumoto_r]

そりゃそうか。HTTP_PROXYヘッダのブロックや初期化といった対処が必要。詳しくは各報告状況を参照

[diveintounlimit]

“If you’re running PHP or CGI, you should block the Proxy header now”

[noumi-kudryavka]

やばそう