La minaccia può attaccare applicativi Web scritti in PHP, Python, Go e probabilmente con altri linguaggi che interagiscono con un server engine via CGI. La problematica interessa il codice scritto dal singolo programmatore, ma anche librerie diffuse come Guzzle, che interagiscono con proxy HTTP in uscita.

In dettaglio il meccanismo è questo:

  1. il soggetto che vuole attaccare un server aggiunge un header HTTP di tipo Proxy indicando un proprio server;
  2. PHP, o altri linguaggi collegati al server web tramite CGI, imposta una variabile ambientale dal nome HTTP_PROXY con il contenuto dell'header;
  3. il codice scritto dallo sviluppatore, o la libreria, esegue un controllo sulla variabile HTTP_PROXY assumendo che venga impostata direttamente dalla configurazione del server web (quindi una variabile trusty, su cui fare affidamento);
  4. il codice fidandosi della variabile la utilizza per far transitare il proprio traffico in uscita sul server proxy.

In questo modo il malintenzionato può far inviare su un proprio server tutte le richieste effettuate dal codice vulnerabile con le conseguenze ipotizzabili. Si tratta quindi di una vulnerabilità importante che mette a rischio un gran numero di siti web. Per questa ragione da alcune ore sono disponibili security release per tutte le versioni attualmente supportate e viene caldamente consigliato l'aggiornamento.

Nel dettaglio le nuove versioni (che introducono anche altri bugfix minori) sono:

  • 5.5.38
  • 5.6.24
  • 7.0.9

Gli aggiornamenti sono già disponibili per i sistemi di pacchettizzazione delle principali distribuzioni Linux mentre per Windows è possibile scaricarli dal sito web ufficiale di PHP.

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *