Найдена уязвимость httpoxy, связазанная с небезопасным использованием переменной окружения HTTP_PROXY в CGI приложениях. Ей подвержено большое количество библиотек, написанных на PHP, Python и Go.
На самом деле, багу уже более 15 лет, в разное время его фиксили в Perl, curl, Ruby и недавно вновь обнаружили сразу в целом ряде программ.
Суть уязвимости заключается в том, что CGI можно передать переменную окружения HTTP_PROXY извне, через HTTP-заголовок, перенаправив тем самым исходящие запросы сервера через эту прокси.
http://amp.gs/8mqP
На самом деле, багу уже более 15 лет, в разное время его фиксили в Perl, curl, Ruby и недавно вновь обнаружили сразу в целом ряде программ.
Суть уязвимости заключается в том, что CGI можно передать переменную окружения HTTP_PROXY извне, через HTTP-заголовок, перенаправив тем самым исходящие запросы сервера через эту прокси.
http://amp.gs/8mqP