ZendFramework安全顾问ZF2018-01是否仅是IIS服务器的一个问题？

Question

在阅读了关于安全建议的文章之后：https://framework.zend.com/security/advisory/ZF2018-01

以及应用于zend的修补程序：https://github.com/zendframework/zend-http/releases/tag/release-2.8.1

我试图确认这个错误只影响运行IIS的服务器？

此版本修改了Zend\Http\PhpEnvironment\Request封送请求URI的方式。在以前的版本中，我们将尝试检查X-重写-Url和X-原始Url标题，如果存在的话，使用它们的值。这些标头由IIS的ISAPI_Rewrite模块(由HeliconTech开发)发出。但是，我们无法保证模块是发出标头的东西，这使得它成为发现URI的不可靠来源。因此，我们在zend的这个版本中删除了这个特性。

我的理解正确吗--这是IIS唯一的漏洞吗？

Answer 1

不，这个错误会影响所有的网络服务器！

问题是，错误的代码假定如果设置了这些标头，则由IIS模块设置这些标头，并“信任”这些标头。

但是，这些标头可以由恶意代理设置，使它们出现在向任何set服务器发出的请求中，当错误的代码仍然“信任”它们时，就像IIS模块设置它们一样。