Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Vulnerabilità HTTPoxy in PHP: security release per tutte le versioni

Vulnerabilità HTTPoxy in PHP: security release per tutte le versioni
Link copiato negli appunti

È stata scoperta, a luglio 2016, una vulnerabilità che permette ad un utente malintenzionato di effettuare un attacco di tipo man in the middle potendo leggere quanto viene inviato in uscita, comprese possibili chiavi private, password e dati sensibili. Scopriamo di cosa si tratta.

La minaccia può attaccare applicativi Web scritti in PHP, Python, Go e probabilmente con altri linguaggi che interagiscono con un server engine via CGI. La problematica interessa il codice scritto dal singolo programmatore, ma anche librerie diffuse come Guzzle, che interagiscono con proxy HTTP in uscita.

In dettaglio il meccanismo è questo:

  1. il soggetto che vuole attaccare un server aggiunge un header HTTP di tipo Proxy indicando un proprio server;
  2. PHP, o altri linguaggi collegati al server web tramite CGI, imposta una variabile ambientale dal nome HTTP_PROXY con il contenuto dell'header;
  3. il codice scritto dallo sviluppatore, o la libreria, esegue un controllo sulla variabile HTTP_PROXY assumendo che venga impostata direttamente dalla configurazione del server web (quindi una variabile trusty, su cui fare affidamento);
  4. il codice fidandosi della variabile la utilizza per far transitare il proprio traffico in uscita sul server proxy.

In questo modo il malintenzionato può far inviare su un proprio server tutte le richieste effettuate dal codice vulnerabile con le conseguenze ipotizzabili. Si tratta quindi di una vulnerabilità importante che mette a rischio un gran numero di siti web. Per questa ragione da alcune ore sono disponibili security release per tutte le versioni attualmente supportate e viene caldamente consigliato l'aggiornamento.

Nel dettaglio le nuove versioni (che introducono anche altri bugfix minori) sono:

  • 5.5.38
  • 5.6.24
  • 7.0.9

Gli aggiornamenti sono già disponibili per i sistemi di pacchettizzazione delle principali distribuzioni Linux mentre per Windows è possibile scaricarli dal sito web ufficiale di PHP.

Ti consigliamo anche