Опасная уязвимость Httpoxy, основанная на ошибке 15-летней давности, была обнаружена исследователем информационной безопасности VendHQ Домиником Ширлинком. Уязвимость оказывает влияние на большое число дистрибутивов Linux и языков программирования, а также дает возможность проводить атаку типа man-in-the-middle на веб-серверы.
Уязвимостью затронуты веб-приложения на стороне сервера, которые применяют интерфейс или окружение CGI (Common Gateway Interface).
Ширлинк охарактеризовал Httpoxy как набор уязвимостей, появившихся ввиду простого конфликта имен, связанных с HTTP-заголовками, которые при создании передаваемых запросов небезопасно полагаются на переменную HTTP_PROXY. В результате злоумышленник может дистанционно вносить изменения в значение переменной HTTP_PROXY на веб-сервере, используя сформированный специальным образом HTTP-запрос.
У хакера есть возможность воспользоваться уязвимостью удаленно, осуществлять атаку типа man-in-the-middle и перенаправлять трафик на произвольный хост. Кроме того, можно осуществлять перехват и расшифровку трафика, а также DoS-атаку, вынуждая уязвимое программное обеспечение применять вредоносный прокси-сервер.
Фактически Httpoxy состоит из целого ряда уязвимостей, которые влияют на платформы и языки, в том числе Apache HTTP Server, Apache Tomcat, Go, HHVM, PHP и Python.
Ширлинк утверждает, что Httpoxy основана на уязвимости в сценарии Perl, которая была зафиксирована в 2001 году экспертом Рэндалом Шварцем, позже исправившим уязвимость, но такие ошибки неоднократно повторялись в дальнейшем.