È stata scoperta, a luglio 2016, una vulnerabilità che permette ad un utente malintenzionato di effettuare un attacco di tipo man in the middle potendo leggere quanto viene inviato in uscita, comprese possibili chiavi private, password e dati sensibili. Scopriamo di cosa si tratta.
La minaccia può attaccare applicativi Web scritti in PHP, Python, Go e probabilmente con altri linguaggi che interagiscono con un server engine via CGI. La problematica interessa il codice scritto dal singolo programmatore, ma anche librerie diffuse come Guzzle, che interagiscono con proxy HTTP in uscita.
In dettaglio il meccanismo è questo:
- il soggetto che vuole attaccare un server aggiunge un header HTTP di tipo Proxy
- PHP, o altri linguaggi collegati al server web tramite CGI, imposta una variabile ambientale dal nome HTTP_PROXY
- il codice scritto dallo sviluppatore, o la libreria, esegue un controllo sulla variabile HTTP_PROXY trusty
- il codice fidandosi della variabile la utilizza per far transitare il proprio traffico in uscita sul server proxy.
In questo modo il malintenzionato può far inviare su un proprio server tutte le richieste effettuate dal codice vulnerabile con le conseguenze ipotizzabili. Si tratta quindi di una vulnerabilità importante che mette a rischio un gran numero di siti web. Per questa ragione da alcune ore sono disponibili security release
Nel dettaglio le nuove versioni (che introducono anche altri bugfix minori) sono:
- 5.5.38
- 5.6.24
- 7.0.9
Gli aggiornamenti sono già disponibili per i sistemi di pacchettizzazione delle principali distribuzioni Linux mentre per Windows è possibile scaricarli dal sito web ufficiale di PHP
