• WEB DESIGN AGENCY

  • Sede Principale

    Multimedia Web

    Blog Studio Web

    Studio Web

    Sede a Venezia

    Web Agency Venezia

    Sede a New York

    Nyc Web Design

    Sede International

    Web Designer International

    Sito Demo One Page

    Spaghetti Web

    Landing page

    Savinus

  • smartphone

    Seguici sul tuo smartphone

  • web-designer-ancona
  • AGENZIA WEB

Home / News / Vulnerabilità HTTPoxy in PHP: security release per tutte le versioni

Vulnerabilità HTTPoxy in PHP: security release per tutte le versioni


Questa grave vulnerabilità permette ad un fruitore malintenzionato di mettere in atto un attacco di tipo man in the middle potendo leggere quanto viene inviato in uscita, comprese possibili chiavi private, password e dati sensibili.

In dettaglio il meccanismo è questo:

  1. il soggetto che vuole attaccare un server aggiunge un header HTTP di tipo Proxy indicando un proprio server;
  2. PHP, o altri linguaggi collegati al server web tramite CGI, imposta una variabile ambientale dal nome HTTP_PROXY con il contenuto dell’header;
  3. il codice scritto dallo sviluppatore, o la libreria, esegue un controllo sulla variabile HTTP_PROXY assumendo che venga impostata direttamente dalla configurazione del server web (quindi una variabile trusty, su cui fare affidamento);
  4. il codice fidandosi della variabile la utilizza per far transitare il proprio traffico in uscita sul server proxy.

In questo modo il malintenzionato può far inviare su un proprio server tutte le richieste effettuate dal codice vulnerabile con le conseguenze ipotizzabili. Si tratta quindi di una vulnerabilità importante che mette a rischio un gran numero di siti web. Per questa ragione da alcune ore sono disponibili security release per tutte le versioni attualmente supportate e viene caldamente consigliato l’aggiornamento.

Nel dettaglio le nuove versioni (che introducono anche altri bugfix minori) sono:

Gli aggiornamenti sono già disponibili per i sistemi di pacchettizzazione delle principali distribuzioni sistema del pinguino mentre per Il sistema della BSOD è possibile scaricarli dal sito web ufficiale di PHP.






Source link

Send this to a friend