OVH Community, votre nouvel espace communautaire.

mauvaise nouvelle: faille de sécurité HTTP_PROXY web/serveur


vcasse
21/07/2016, 09h30
Citation Envoyé par lxwfr
Bonjour à tous,

Pour les utilisateurs des hébergements web, nous avons patché l'ensemble de notre infrastructure afin que le bug ne puisse pas s'y produire.
Pour ceux qui hébergent leur site sur VPS ou serveur dédié, vous devez, bien entendu, appliquer bous même les patchs ou bloquer le header Proxy.

Cordialement,
Vincent

lxwfr
21/07/2016, 06h14
ce qui utilise plesk l'info https://talk.plesk.com/threads/fault...pacted.338682/

Cehem-63
20/07/2016, 10h52
Ok, cela semble sérieux, mais d'après Drupal.org, cela n'affecterait que la version 8 de Drupal, et je suis en 7, qui est la version la plus répandue. En tout cas ils n'ont pas l'air faire un patch pour la 7.

Mais j'ai quand même ajouté ceci dans mes fichiers .htaccess:

Code:
#
# Correction faille de sécurité du 21/07/2016 sur les httpoxy :
#

   RequestHeader unset Proxy

fritz2cat
20/07/2016, 10h08
Je dirais que oui:
https://www.drupal.org/SA-CORE-2016-003

Cehem-63
19/07/2016, 23h22
Merci pour l'info, si on un site sous Drupal (CMS en php) est-ce qu'on est vulnérable?

lxwfr
19/07/2016, 09h49
je vous laisse lire https://httpoxy.org/#affected-summary (c'est en anglais)