漏洞信息(CVE-2016-5385)

一、漏洞 CVE-2016-5385 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

PHP自7.0.8起未试图解决RFC 3875第4.1.18命名空间冲突问题，因此未保护应用程序免受HTTP_PROXY环境变量中未受信任客户端数据的存在，这可能导致远程攻击者通过在HTTP请求中的构造的Proxy header来将应用程序的 outboundHTTP流量转向任意代理服务器，如(1)一个调用getenv('HTTP_PROXY')的应用程序或(2)PHP的CGI配置，也被称为“httpoxy”问题。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

PHP through 7.0.8 does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect an application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, as demonstrated by (1) an application that makes a getenv('HTTP_PROXY') call or (2) a CGI configuration of PHP, aka an "httpoxy" issue.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

PHP 输入验证错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

PHP是一种在服务器端执行的脚本语言。 PHP 7.0.8版本及之前版本中存在输入验证错误漏洞。攻击者利用该漏洞通过HTTP请求中特制的Proxy标头将应用程序的出站HTTP流量重定向到任意代理服务器。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

输入验证错误

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2016-5385 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2016-5385 的情报信息

https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05320149 x_refsource_CONFIRM
https://github.com/guzzle/guzzle/releases/tag/6.2.1 x_refsource_CONFIRM
https://bugzilla.redhat.com/show_bug.cgi?id=1353794 x_refsource_CONFIRM
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html x_refsource_CONFIRM
https://httpoxy.org/ x_refsource_MISC
https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03770en_us x_refsource_CONFIRM
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05390722 x_refsource_CONFIRM
http://www.oracle.com/technetwork/topics/security/linuxbulletinjul2016-3090544.html x_refsource_CONFIRM
https://www.drupal.org/SA-CORE-2016-003 x_refsource_CONFIRM
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html x_refsource_CONFIRM
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05333297 x_refsource_CONFIRM
http://www.securityfocus.com/bid/91821 vdb-entry x_refsource_BID
http://www.securitytracker.com/id/1036335 vdb-entry x_refsource_SECTRACK
http://www.debian.org/security/2016/dsa-3631 vendor-advisory x_refsource_DEBIAN
http://www.kb.cert.org/vuls/id/797896 third-party-advisory x_refsource_CERT-VN
http://rhn.redhat.com/errata/RHSA-2016-1613.html vendor-advisory x_refsource_REDHAT
http://rhn.redhat.com/errata/RHSA-2016-1611.html vendor-advisory x_refsource_REDHAT
http://rhn.redhat.com/errata/RHSA-2016-1610.html vendor-advisory x_refsource_REDHAT
https://security.gentoo.org/glsa/201611-22 vendor-advisory x_refsource_GENTOO
http://rhn.redhat.com/errata/RHSA-2016-1609.html vendor-advisory x_refsource_REDHAT
http://rhn.redhat.com/errata/RHSA-2016-1612.html vendor-advisory x_refsource_REDHAT
http://lists.opensuse.org/opensuse-updates/2016-08/msg00003.html vendor-advisory x_refsource_SUSE
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7RMYXAVNYL2MOBJTFATE73TOVOEZYC5R/ vendor-advisory x_refsource_FEDORA
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GXFEIMZPSVGZQQAYIQ7U7DFVX3IBSDLF/ vendor-advisory x_refsource_FEDORA
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KZOIUYZDBWNDDHC6XTOLZYRMRXZWTJCP/ vendor-advisory x_refsource_FEDORA
https://nvd.nist.gov/vuln/detail/CVE-2016-5385

一、 漏洞 CVE-2016-5385 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2016-5385 的公开POC

三、漏洞 CVE-2016-5385 的情报信息

一、漏洞 CVE-2016-5385 基础信息