Обнал сервис MoneyTeam wwh PolisBlank
Взлом ВК
hacknet Продажа, изготовление водительских удостоверений (нового и старого образца)
hacknet

СМИ Уязвимость в реализации CGI позволяет осуществить атаку «человек посередине»

Тема в разделе "Новости СМИ", создана пользователем Marck, 20/7/16.

  1. TopicStarter Overlay
    Marck

    Marck Ветеран Модератор Проверенный продавец

    Написать в ЛС
    Последняя активность:
    09.12.16
    Регистрация:
    23/8/15
    Сообщения:
    628
    Симпатии:
    282
    Сделок через ГС (Offelia):
    3
    Депозит:
    Проблема позволяет удаленно изменить значение переменной HTTP_PROXY на web-сервере.

    ИБ-исследователь VendHQ Доминик Ширлинк (Dominic Scheirlinck) обнаружил опасную уязвимость, основанную на ошибке 15-летней давности. Уязвимость влияет на большое число дистрибутивов Linux и языков программирования и позволяет осуществить атаку «человек посередине» на web-серверы. Уязвимость, получившая название Httpoxy, затрагивает web-приложения на стороне сервера, использующие CGI-интерфейс (Common Gateway Interface) или CGI-окружение, например, FastCGI для PHP, Python и Go.

    Ширлинк описывает Httpoxy, как набор уязвимостей, возникнувших из-за простого конфликта имен, связанных с HTTP заголовками, которые небезопасно полагаются на переменную «HTTP_PROXY» при генерации предаваемых запросов. Данная проблема позволяет злоумышленнику удаленно изменить значение переменной HTTP_PROXY на web-сервере с помощью специально сформированного HTTP-запроса.

    Атакующий может удаленно проэксплуатировать уязвимость, осуществить атаку «человек посередине» и перенаправить трафик на произвольный хост. Злоумышленник также может перехватить и расшифровать трафик, или осуществить DoS-атаку, принуждая уязвимое ПО использовать вредоносный прокси-сервер.

    Httpoxy включает целый ряд уязвимостей, влияющих на платформы и языки, включая PHP (CVE-2016-5385), Go (CVE-2016-5386), Apache HTTP Server (CVE-2016-5387), Apache Tomcat (CVE-2016-5388), HHVM (CVE-2016-1000109) и Python (CVE-2016-1000110).

    По словам Ширлинка, Httpoxy связана с уязвимостью в сценарии Perl, обнаруженной экспертом Рэндалом Шварцом (Randal L Schwartz) в 2001. Щварц исправил уязвимость, однако подобные ошибки повторялись множество раз.
     
  2. Инфо. Бот Администратор

    Просьба ознакомиться с основными правилами проекта Читать.
    В сети полно мошенников, которые умело могут Вас развести и завладеть вашими денежными средствами.
    Для безопасности сделок рекомендуем пользоваться услугами Гарант сервиса.
     
Big.Bob