Sicherheit · 4 min read · Sep 26, 2025

HTTPOXY-Sicherheitsanfälligkeit: So schützen und testen Sie Ihren Webserver

Die HTTPOXY-Sicherheitsanfälligkeit, die kürzlich entdeckt wurde, ist eine Sicherheitsanfälligkeit, die Anwendungen betrifft, die in CGI- oder CGI-ähnlichen Umgebungen ausgeführt werden. Das bedeutet, dass das Problem fast alle Webserver, einschließlich Apache und Nginx, sowie die meisten PHP-Anwendungen betrifft. Sogar der mod_php-Modus auf Apache ist betroffen.

Dieses Tutorial zeigt Ihnen, wie Sie Ihren Webserver vor HTTPOXY schützen können. Es enthält Abschnitte für die am häufigsten verwendeten Linux-Distributionen CentOS + RHEL, Debian und Ubuntu. Die Schritte können auch auf andere Linux-Distributionen angewendet werden, aber die Pfade zu den Konfigurationsdateien können unterschiedlich sein.

Eine detaillierte Beschreibung der HTTPOXY-Sicherheitsanfälligkeit finden Sie auf dieser Website https://httpoxy.org/.

Die in diesem Tutorial beschriebenen Schritte sind mit den ISPConfig Perfect Server-Tutorials kompatibel.

1 Wie wirkt sich HTTPOXY auf meinen Server aus?

HTTPOXY betrifft Clients, die die HTTP_PROXY-Variable respektieren und sie für ihre Proxy-Konfiguration verwenden, sowie serverseitige Anwendungen, die HTTP_PROXY als echte oder emulierte Variable in ihrer Umgebung verwenden. Das Ergebnis eines Angriffs kann Datenverkehr sein, der von der Webanwendung an ein vom Angreifer gewähltes Zielsystem weitergeleitet wird, oder die Anwendung öffnet ausgehende Verbindungen zu anderen Systemen. Die Sicherheitsanfälligkeit ist leicht aus der Ferne ausnutzbar, und Server können darauf gescannt werden, daher wird dringend empfohlen, Maßnahmen zu ergreifen, um sie auf Ihrem Server zu schließen.

1.1 Allgemeine Lösung

Die empfohlene Lösung besteht derzeit darin, die HTTP_PROXY-Header-Variable zu entfernen oder zu filtern. Dies geschieht in Apache mit dem mod_headers-Modul und dieser Konfigurationsanweisung:

RequestHeader unset Proxy early

In Nginx können Sie diese Zeile verwenden, um die HTTP_PROXY-Variable zu entfernen.

fastcgi_param HTTP_PROXY "";

Das nächste Kapitel beschreibt das detaillierte Verfahren für verschiedene Linux-Distributionen.

2 Debian

Dieses Kapitel beschreibt die Konfiguration zum Schutz von Apache und Nginx auf Debian 8 (Jessie) und Debian 7 (Wheezy) Servern gegen HTTPOXY. Die nächsten Schritte setzen voraus, dass Sie als Root-Benutzer in der Shell angemeldet sind. Wenn Sie unter einem anderen Benutzer angemeldet sind, verwenden Sie den Befehl su (oder sudo, wenn Sie sudo konfiguriert haben), um Root-Benutzer zu werden.

2.2 Debian 8 (Jessie) mit Apache

Aktivieren Sie das Apache-Headers-Modul

a2enmod headers

Fügen Sie eine globale Konfigurationsdatei /etc/apache2/conf-available/httpoxy.conf hinzu. Ich werde hier den Nano-Editor verwenden:

nano /etc/apache2/conf-available/httpoxy.conf

und fügen Sie den folgenden Inhalt in diese Datei ein:


    RequestHeader unset Proxy early

Speichern Sie die Datei. Aktivieren Sie sie dann in der Konfiguration mit dem Befehl a2enconf und starten Sie Apache neu.

a2enconf httpoxy  
service apache2 restart

2.2 Debian 7 (Wheezy) mit Apache

Aktivieren Sie das Apache-Headers-Modul:

a2enmod headers

Fügen Sie eine globale Konfigurationsdatei /etc/apache2/conf.d/httpoxy.conf hinzu. Ich werde hier den Nano-Editor verwenden:

nano /etc/apache2/conf.d/httpoxy.conf

und fügen Sie den folgenden Inhalt in diese Datei ein:


    RequestHeader unset Proxy early

Speichern Sie die Datei. Starten Sie dann Apache neu.

service apache2 restart

2.3 Debian mit Nginx

Der folgende Befehl fügt einen fastcgi_param hinzu, der die HTTP_PROXY-Variable auf einen leeren String in die Datei /etc/nginx/fastcgi_params setzt.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Starten Sie dann Nginx neu, um die Konfigurationsänderung anzuwenden.

service nginx restart

3 Ubuntu

Dieses Kapitel beschreibt die Konfiguration zum Schutz von Apache und Nginx auf Ubuntu 14.04 - 16.04 Servern gegen HTTPOXY.

3.1 Ubuntu mit Apache

Aktivieren Sie das Apache-Headers-Modul.

sudo a2enmod headers

Fügen Sie eine globale Konfigurationsdatei /etc/apache2/conf-available/httpoxy.conf hinzu. Ich werde hier den Nano-Editor verwenden:

sudo nano /etc/apache2/conf-available/httpoxy.conf

und fügen Sie den folgenden Inhalt in diese Datei ein:


    RequestHeader unset Proxy early

Speichern Sie die Datei. Aktivieren Sie sie dann in der Konfiguration mit dem Befehl a2enconf und starten Sie Apache neu.

sudo a2enconf httpoxy  
sudo service apache2 restart

3.2 Ubuntu mit Nginx

Die Schritte zum Schutz von Ubuntu gegen HTTPOXY sind ähnlich wie die für Debian. Wir müssen nur sicherstellen, dass wir die Befehle mit sudo ausführen. Dieser Echo-Befehl fügt eine fastcgi_param-Zeile hinzu, die die HTTP_PROXY-Variable als leeren String festlegt. Die Datei /etc/nginx/fastcgi_params ist in die Standard-@PHP- und cgi-bin-Abschnitte der Nginx-Vhost-Dateien sowie in Vhosts, die von ISPConfig erstellt werden, eingebunden. Wenn Sie benutzerdefinierte Vhosts hinzugefügt haben, überprüfen Sie, ob sie “include /etc/nginx/fastcgi_params;” in den Konfigurationsabschnitten für PHP und andere CGI- oder FastCGI-Connectoren enthalten.

Führen Sie den folgenden Befehl aus, um die leere HTTP_PROXY-Variable hinzuzufügen.

sudo echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Starten Sie dann Nginx neu, um die Konfigurationsänderung anzuwenden.

sudo service nginx restart

4 CentOS, RHEL und Fedora

Dieses Kapitel beschreibt die Konfiguration zum Schutz von Apache und Nginx auf CentOS-Servern gegen HTTPOXY. Die gleichen Schritte sollten auch für Fedora-Server funktionieren. Melden Sie sich als Root-Benutzer in der Shell an, bevor Sie mit den folgenden Befehlen fortfahren.

4.1 Apache

Die Apache (httpd)-Konfigurationsdatei auf CentOS ist /etc/httpd/conf/httpd.conf. Ich werde die Apache-Header-Regel am Ende der httpd.conf-Datei mit diesem Befehl hinzufügen:

echo "RequestHeader unset Proxy early" >> /etc/httpd/conf/httpd.conf

Starten Sie dann httpd neu, um die Konfigurationsänderung anzuwenden.

service httpd restart

4.2 Nginx

Der Nginx-Webserver auf CentOS umfasst die fastcgi_params in den PHP- und CGI-Abschnitten des Standard-Vhosts, sodass wir die Regel dort hinzufügen können, um die leere HTTP_PROXY-Variable festzulegen. Führen Sie diesen Befehl aus, um die leere HTTP_PROXY-Variable hinzuzufügen.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Starten Sie dann Nginx neu, um die Konfigurationsänderung anzuwenden.

service nginx restart

5 Test

Schließlich sollten Sie testen, ob Ihr Server jetzt sicher ist. Luke Rehman hat ein schönes Online-Testtool entwickelt, das Sie hier finden können: https://httpoxy.rehmann.co/

Geben Sie die URL zu Ihrem Server oder Ihrer Website in das Tool ein und klicken Sie auf die Schaltfläche “Test”.

HTTPOXY-Test

Hier ist das Ergebnis für howtoforge.com. Wie Sie sehen können, ist unsere Website sicher.

6 Links

Share: X/Twitter LinkedIn
#Sicherheit

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.