ニュース
「HTTP_PROXY」を参照する広範なウェブサーバーに脆弱性
PHP、GO、Apache HTTP Server、Apache Tomcat、HHVM、Pythonに影響
2016年7月19日 16:19
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は19日、CGIなどを利用するウェブサーバーの脆弱性について注意喚起を行った。影響を受けるソフトウェアは多岐にわたり、環境変数「HTTP_PROXY」を参照してHTTPアウトバウンド通信を行うすべてのウェブサーバーやウェブアプリケーションが影響を受ける可能性がある。
この脆弱性には“httpoxy”との別名があり、細工されたProxyヘッダーを含むリクエストが送信されることで、サーバーの環境変数「HTTP_PROXY」に意図しない値が設定され、脆弱性を悪用した中間者攻撃を受けたり、不正なホストに接続されたりする可能性がある。
現時点でJPCERT/CCでは、影響を受けるソフトウェアとして、PHP(CVE-2016-5385)、GO(CVE-2016-5386)、Apache HTTP Server(CVE-2016-5387)、Apache Tomcat(CVE-2016-5388)、HHVM(CVE-2016-1000109)、Python(CVE-2016-1000110)を挙げているが、これら以外でもCGIなどを利用するソフトウェアは影響を受ける可能性がある。
JPCERT/CCでは脆弱性への対策方法として、リクエストに含まれるProxyヘッダーを無効にすることのほか、CGIで環境変数「HTTP_PROXY」を使用しない、ファイアウォールでウェブサーバーからのHTTPアウトバウンド通信を必要最小限に制限する――などを挙げている。