TOOLinux

Le journal du Libre

Faille HTTProxy, le retour

jeudi 21 juillet 2016

HTTPoxy a été découverte en 2001 par Randal L. Schwartz. Cette faille touchait le module libwww-perl, puis s’est déclinée sur cur, Ruby, Nginx. Aujourd’hui, elle affecte également PHP, Python et le langage Go utilisés en environnements CGI.

Origine ? Une mauvaise gestion des en-têtes Proxy et de leur nettoyage lors des requêtes et, qui pourrait induire un serveur à utiliser un proxy malveillant. Ce serait un cas d’attaque de l’« homme du milieu ».

Dominic Scheirlinck, qui a redécouvert cette vulnérabilité en février dernier, se veut rassurant, car pour lui elle peut « facilement être corrigée si les mesures nécessaires sont prises assez tôt dans le processus de développement. »

Plusieurs projets importants sont aujourd’hui encore vulnérables, mais la plupart ont corrigé le tir, à l’image du CMS Drupal.

Lien :

- Plus d’informations