HTTPOXY

GovCERT riasztás a Drupal sérülékenységéről

A Kormányzati Eseménykezelő Központ riasztást adott ki a Drupal
tartalomkezelő kritikus
sérülékenysége, illetve annak egyszerű kihasználhatósága kapcsán.

A Drupal tartalomkezelő kritikus kockázati besorolású sérülékenysége
vált ismertté, amelyet
kihasználva egy rosszindulatú távoli felhasználó képes lehet eltéríteni
a HTTP forgalmat egy
tetszőleges proxy szerver felé.

HTTPOXY + Ubuntu

Az új (valójában 2001 óta ismert) "HTTPOXY" sérülékenység - a
szokásoknak megfelelően - már saját weblapot is kapott.
A sérülékenység kihasználásához viszonylag speciális körülmények
szükségesek. A CGI vagy PHP környezet, valamint bejövő webes kéréseket
követően kimenő autonóm webes kérések végrehajtása, privát
szolgáltatások felé (vö: autentikációs tokenek kiszivárogtatása), vagy a
nyilvános szolgáltatásoktól visszakapott eredmények szűretlen
továbbítása, hibás feldolgozása/tárolása (vö. beágyazott RSS/Atom