PHP, Phyton ve Go programlama dillerinin CGI alanında yakın zamanda HTTPoxy adında bir açık keşfedildi. Bu açık sayesinden uygulamayı uzaktan etkileyebilecek bazı saldırılara olanak verebileceği anlaşıldı. Direkt bu açık üzerine kurulmuş bir zararlı bulunmamakla birlikte (En azından bu yazılana kadar) web sunucunuzda önlem almanızı öneririz.

Önlem

MaestroPanel’in desteklediği IIS Web Sunucusunu HTTPoxy Açığına karşı korumak için aşağıdakileri uygulayınız. (Diğer web sunucuları çözümleri için: https://httpoxy.org/#fix-now)

%systemroot%\system32\inetsrv\Pappcmd set config /section:requestfiltering /+requestlimits.headerLimits.[header='proxy',sizelimit='0']

Bu komut HTTP isteğinin içindeki proxy anahtarını kısıtlar.

Diğer bir yöntem ise URL Rewrite (MaestroPanel için ayrıca yüklenmesine gerek yok) ile aşağıdaki şekilde

<system.webServer>
    <rewrite>
        <rules>
            <rule name="Erase HTTP_PROXY" patternSyntax="Wildcard">
                <match url="*.*" />
                <serverVariables>
                    <set name="HTTP_PROXY" value="" />
                </serverVariables>
                <action type="None" />
            </rule>
        </rules>
    </rewrite>
</system.webServer>

PHP Güncellemesi

PHP, HTTPoxy ile ilgili güncellemelerini yayınladı.

Güncelleme için php-5.6.24-nts-Win32-VC11-x86.zip dosyasını %MaestroPanelPath%\php\v5.6 altına açmanız yeterli.

Güncelleme için php-5.5.38-nts-Win32-VC11-x86.zip dosyasını %MaestroPanelPath%\php\v5.6 altına açmanız yeterli.

Test

Sunucunuzun bu açıktan etkilenip etkilenmediğini aşağıdaki adres üzerinden test edebilirsiniz.

Yazar