「HTTP_PROXY」を参照する広範なウェブサーバーに脆弱性

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は19日、CGIなどを利用するウェブサーバーの脆弱性について注意喚起を行った。影響を受けるソフトウェアは多岐にわたり、環境変数「HTTP_PROXY」を参照してHTTPアウトバウンド通信を行うすべてのウェブサーバーやウェブアプリケーションが影響を受ける可能性がある。

　この脆弱性には“httpoxy”との別名があり、細工されたProxyヘッダーを含むリクエストが送信されることで、サーバーの環境変数「HTTP_PROXY」に意図しない値が設定され、脆弱性を悪用した中間者攻撃を受けたり、不正なホストに接続されたりする可能性がある。

　現時点でJPCERT/CCでは、影響を受けるソフトウェアとして、PHP（CVE-2016-5385）、GO（CVE-2016-5386）、Apache HTTP Server（CVE-2016-5387）、Apache Tomcat（CVE-2016-5388）、HHVM（CVE-2016-1000109）、Python（CVE-2016-1000110）を挙げているが、これら以外でもCGIなどを利用するソフトウェアは影響を受ける可能性がある。

　JPCERT/CCでは脆弱性への対策方法として、リクエストに含まれるProxyヘッダーを無効にすることのほか、CGIで環境変数「HTTP_PROXY」を使用しない、ファイアウォールでウェブサーバーからのHTTPアウトバウンド通信を必要最小限に制限する――などを挙げている。