Httpoxy-haavoittuvuus useissa www-palvelutoteutuksissa

Httpoxy-haavoittuvuus liittyy heikkouteen www-palvelimen ja taustaohjelmiston yhteistyössä. Hyökkääjän www-palvelimelle antama välityspalvelin saatetaan ottaa käyttöön sellaisenaan taustaohjelmistossa.

Monissa www-palveluissa käytetään CGI-standardin (Common Gateway Interface) mukaista rajapintaa www-palvelimen ja taustaohjelmiston väliseen kommunikointiin. Rajapinnan toteutuksissa www-palvelin välittää tietoja saamastaan HTTP-pyynnöstä (Hypertext Transport Protocol) ja palvelimen asetuksista ohjelmalle antamissaan ympäristömuuttujissa.

CGI-standardin mukaisesti www-palvelimen tulisi antaa ohjelmistolle tietoa HTTP-pyynnön otsikkotiedoista ympäristömuuttujiin, joiden nimet ovat muotoa HTTP_otsikko. Useat ohjelmointikielet puolestaan etsivät käyttämäänsä HTTP-välityspalvelinta ympäristömuuttujasta HTTP_PROXY. Tällöin voi syntyä tilanne, jossa pyynnössä annettu Proxy-otsikon arvo tulee sellaisenaan käyttöön www-palvelun taustaohjelmistossa. Mikäli taustaohjelmisto tekee HTTP-pyyntöjä, voi hyökkääjä ohjata ne omalle välityspalvelimelleen tekemällä kohdepalvelimelle Proxy-otsikon sisältävän pyynnön.

Haavoittuvuuden vaikutukset riippuvat taustaohjelmiston toteutuksessa. Hyökkääjä voi esimerkiksi ujuttaa omaa sisältöään taustaohjelmistolle, tai vähintäänkin saada tietoa ohjelmiston toiminnasta. Haavoittuvuus ei vaikuta taustaohjelmiston tekemiin salattuihin HTTPS-kyselyihin.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Haavoittuvuus vaikuttaa useisiin www-palvelimiin ja ohjelmointikielten www-palvelinrajapintoihin. CERT/CC ylläpitää listaa haavoittuviksi todetuista ohjelmistoista.

Ratkaisu- ja rajoitusmahdollisuudet:

Haavoittuvuuteen ei ole juurikaan saatavilla korjaavia ohjelmistopäivityksiä. Apache-projekti on julkaissut lähdekoodimuotoisen päivityksen http-palvelimeensa (httpd).

Haavoittuvuutta voi rajoittaa suodattamalla www-palvelimella välityspalvelimen asettamiseen liittyviä otsikkotietoja, tai ohjelmakoodissa näitä vastaavia www-palvelimen välittämiä ympäristömuuttujia:

  • HTTP-otsikko Proxy ja tätä vastaava ympäristömuuttuja HTTP_PROXY
  • HTTP_PROXY_HOST (Proxy-host)

  • HTTP_PROXY_PORT (Proxy-port)

  • HTTP_PROXY_PASS (Proxy-pass)
  • HTTP_PROXY_USER (Proxy-user)
  • HTTP_PROXY_PASSWORD (Proxy-password)

Ohjelmistovalmistajien tiedotteissa listataan tarkempia tietoja suodatusmenetelmien toteuttamiseksi.

Haavoittuvuuden voi välttää myös käyttämällä salattuja HTTPS-yhteyksiä, tai rajoittamalla palvelimen tekemiä yhteyksiä palomuurisäännöillä.

Lisätietoa:

Päivityshistoria

Asiasanat: Internet , Tietoturva , CERT , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248