Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad crítica de inyección en CGI

Vulnerabilidad crítica de inyección en CGI

Fecha de publicación: 
19/07/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Hay múltiples sistemas afectados al ser vulnerables implementaciones en script CGI:

  • PHP (Guzzle 4+ , Artax)
  • Go (net/http)
  • Python (requests) 
  • otros

Algunos productos afectados son:

  • Drupal Core 8, versiones anteriores a 8.1.7
  • Apache HTTP Server (httpd and mod_fcgid)
  • Apache Perl (mod_perl) 
  • Apache Tomcat
Descripción: 

Se ha publicado un aviso de una vulnerabilidad en sistemas CGI cuya explotación podría permitir a un atacante remoto tomar el control de un sistema afectado.

Solución: 

Actualizar los componentes o módulos correspondientes.

La medida de mitigación más efectiva es bloquear las peticiones HTTP_PROXY, siempre que sea posible. Mas medidas de mitigación en https://httpoxy.org

Si utiliza Drupal 7.x, el núcleo de Drupal no se ve afectada. Sin embargo, se debe considerar el uso de las medidas de mitigación en https://httpoxy.org/ puesto que alguno de los módulos u otro software del servidor podría estar afectado

Detalle: 

Un atacante usando peticiones Proxy HTTTP podría modificar la variable de entorno HTTP_PROXY comúnmente usada por las aplicaciones de servidor y redirigir las peticiones salientes del sistema hacia un servidor malicioso especialmente preparado, pudiendo llegar a ejecutar código en el servidor atacado en función del sistema afectado. Más detalles de esta vulnerabilidad en https://httpoxy.org/.