OVH Community, votre nouvel espace communautaire.

mauvaise nouvelle: faille de sécurité HTTP_PROXY web/serveur


vcasse
21/07/2016, 08h30
Citation Envoyé par lxwfr
Bonjour à tous,

Pour les utilisateurs des hébergements web, nous avons patché l'ensemble de notre infrastructure afin que le bug ne puisse pas s'y produire.
Pour ceux qui hébergent leur site sur VPS ou serveur dédié, vous devez, bien entendu, appliquer bous même les patchs ou bloquer le header Proxy.

Cordialement,
Vincent

lxwfr
21/07/2016, 05h14
ce qui utilise plesk l'info https://talk.plesk.com/threads/fault...pacted.338682/

Cehem-63
20/07/2016, 09h52
Ok, cela semble sérieux, mais d'après Drupal.org, cela n'affecterait que la version 8 de Drupal, et je suis en 7, qui est la version la plus répandue. En tout cas ils n'ont pas l'air faire un patch pour la 7.

Mais j'ai quand même ajouté ceci dans mes fichiers .htaccess:

Code:
#
# Correction faille de sécurité du 21/07/2016 sur les httpoxy :
#

   RequestHeader unset Proxy

fritz2cat
20/07/2016, 09h08
Je dirais que oui:
https://www.drupal.org/SA-CORE-2016-003

Cehem-63
19/07/2016, 22h22
Merci pour l'info, si on un site sous Drupal (CMS en php) est-ce qu'on est vulnérable?

lxwfr
19/07/2016, 08h49
je vous laisse lire https://httpoxy.org/#affected-summary (c'est en anglais)