18 июля была опубликована информация о наборе уязвимостей, получившем название HTTPoxy. Используя его, злоумышленники могут подменять переменную окружения HTTP_PROXY, что позволяет им перенаправлять http-запросы к веб-приложениям на свои ресурсы. Здесь мы расскажем как защитить сервер с Directadmin.
На данный момент возможны как минимум два способа прикрыть уязвимость на сервере с панелью Директадмин
Обновление конфигов с Custombuild (ревизия 1564 или новее)
cd /usr/local/directadmin/custombuild
./build update
./build version
./build rewrite_confs
Эта операция должна обновить файлы: /etc/httpd/conf/extra/httpd-default.conf для Апача и /etc/nginx/nginx_limits.conf для NGINX. Если этот способ для вас не сработал или по какой-либо причине вы не можете его использовать, то для вас имеется второй путь:
Apache Server
Применимо для следующих случаев: веб-сервер строится на базе одного только Apache или в комбинации с NGINX в качестве фронтенда.
echo -e "\nRequestHeader unset Proxy early" | tee -a /etc/httpd/conf/extra/httpd-includes.conf
service httpd restart
NGINX
Только для ситуации, когда NGINX используется один, и PHP-скрипты обрабатываются PHP-FPM
echo 'fastcgi_param HTTP_PROXY "";' | tee -a /etc/nginx/fastcgi_params
mkdir /usr/local/directadmin/custombuild/custom/nginx/conf/ -p
cp -p /etc/nginx/fastcgi_params /usr/local/directadmin/custombuild/custom/nginx/conf/
service nginx restart
Дополнительная информация
Для изучения темы более подробно, пожалуйста, обратитесь к страницам по следующим ссылкам (материал на английском):
- https://httpoxy.org/
- https://www.apache.org/security/asf-httpoxy-response.txt
- http://forum.directadmin.com/showthread.php?t=53503
|