HTTPoxy Vulnerability


Status
Not open for further replies.

mustafaramadhan

Hosting Guru
Berarti untuk saat ini panel yg sdh patch "kemungkinan" (webserver bawaan) baru Kloxo-mr yach pak, berarti untuk user kloxo-mr tinggal melakukan update kah

Saya masih belum sich, mungkin malam nanti saat sdh agak mendingan
Setahu saya baru Kloxo-MR yang 'ribut' masalah ini. Bahkan Kloxo-MR 6.5 (biarpun sudah final) ada update untuk ini.

Ada diskusi yang sama di https://www.lowendtalk.com/
 

mustafaramadhan

Hosting Guru
Btw yg diupdate hanya hiawatha/hiawathaproxy yach pak, nginx/apache/lighttpd ga sekalian :D? hehhehehehe
Semesti sudah. Biarpun demikian memang ada sedikit masalah untuk apache.

Logikanya begini:

Pada hiawatha (logika yang sama untuk lighttpd) untuk menangani httpoxy vul ini dengan 'Header Proxy .* DenyAccess', sedangkan nginx dengan 'fastcgi_param HTTP_PROXY "";' dan 'proxy_set_header Proxy "";' dan apache dengan 'RequestHeader unset Proxy early'.

Perhatikan. Bahwa hiawatha melakukan 'perlawanan' dengan 'DenyAccess' sedangkan nginx dan apache tidak melakukan 'perlawanan' melainkan melakukan 'menghapus' header terkait (nginx melalui 'HTTP_PROXY' dan apache 'unset Proxy'.

Ini sebabnya nginx dan apache tetap 'meneruskan' request tersebut.

Saya telah menemukan cara untuk melakukan 'perlawanan' di nginx yaitu dengan menambahkan 'if ($http_proxy != "") { return 403; }' pada configuration.
Sedangkan di apache belum ketemu cara yang 'elegant'.
 

IIXPLANET

Expert 2.0
Untuk apache bs diterapkan memakai mod security sudah saya coba dan work 403 forbidden dengan menambahkan status:403 sebelum msg.

Btw untuk nginx varnish dan default apache sendiri apabila di unset proxy tersebut bukannya harusnya sudah fix ya walau memang benar request tetap jalan sampai completed.
 

FluidaWeb

Hosting Guru
Untuk apache bs diterapkan memakai mod security sudah saya coba dan work 403 forbidden dengan menambahkan status:403 sebelum msg.

Btw untuk nginx varnish dan default apache sendiri apabila di unset proxy tersebut bukannya harusnya sudah fix ya walau memang benar request tetap jalan sampai completed.
ya sudah, tidak harus 403
 

IDreg.Net

Expert 2.0
berdasarkan info yg saya dapat tidak semua webserver melakukan DENY sumber untuk patch ada di https://httpoxy.org
NGINX/FastCGI
Code:
fastcgi_param HTTP_PROXY "";
Apache
Code:
RequestHeader unset Proxy early
Apache di .htaccess
Code:
<IfModule mod_headers.c>
   RequestHeader unset Proxy
</IfModule>
HAProxy
Code:
http-request del-header Proxy
Varnish
Code:
sub vcl_recv {
    [...]
    unset req.http.proxy;
    [...]
}
OpenBSD relayd
Code:
http protocol httpfilter {
        match request header remove "Proxy"
}
lighttpd
Code:
req_header.remove "Proxy";
Microsoft IIS with PHP or a CGI framework
jalankan command berikut ini
Code:
appcmd set config /section:requestfiltering /+requestlimits.headerLimits.[header='proxy',sizelimit='0']
Hiawatha
Code:
UrlToolkit {
  ToolkitID = block_httpoxy
  Header Proxy .* DenyAccess
}
LiteSpeed Web Server
cukup lakukan Upgrade to >= 5.0.19 or >= 5.1.7 sumber litespeed blog

:D :D
 
Status
Not open for further replies.

Top