Para obter informações sobre a falha, recomendo a leitura dos links:
http://www.theregister.co.uk/2016/07/18/httpoxy_hole/
https://httpoxy.org/
Trata-se de uma falha grave, mas a boa notícia é que é fácil escrever uma regra de IPS que impeça a exploração de qualquer servidor de sua rede (até que as correções sejam aplicadas).
– Confiram a assinatura liberada em seclists.org
drop http $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC HttpOxy vulnerability HTTP Proxy header attempt"; flow:to_server,established; content:"Proxy|3A|"; nocase; http_header; pcre:"/^Proxy\x3a/Hsmi"; reference:url,httpoxy.org; reference:cve,2016-5385; reference:cve,2016-5386; reference:cve,2016-5387; reference:cve,2016-5388; reference:cve,2016-1000109;reference:cve,2016-1000110; reference:url,isc.sans.edu/forums/diary/HTTP+Proxy+Header+Vulnerability+httpoxy/21271/;classtype:misc-attack; sid:90000012; rev:1;)
Já simulei a injeção do header (no Squid) e o filtro de IPS atuou com sucesso.
No Comments Yet