-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                  JPCERT-AT-2016-0031
                                                            JPCERT/CC
                                                           2016-07-19

                 <<< JPCERT/CC Alert 2016-07-19 >>>

CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160031.html


I. 概要

  CGI 等を利用する Web サーバにおいて、脆弱性 (CVE-2016-5385 等) が報告
されています。リモートから Proxy ヘッダを含むリクエストを受信した場合に、
サーバの環境変数 HTTP_PROXY に意図しない値が設定され、脆弱性を悪用され
た場合、中間者攻撃が行われたり、不正なホストに接続させられたりするなど
の可能性があります。

  以下の条件を満たすソフトウエアは本脆弱性の影響を受けます。

  - 環境変数 HTTP_PROXY を参照して HTTP アウトバウンド通信を行う Web
    サーバや Web アプリケーション

  本脆弱性やその影響については以下を参照してください。

    Vulnerability Note VU#797896
    CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
    https://www.kb.cert.org/vuls/id/797896


II. 対象

  以下のソフトウエアが影響を受けます。

  - PHP (CVE-2016-5385)
  - GO (CVE-2016-5386)
  - Apache HTTP Server (CVE-2016-5387)
  - Apache Tomcat (CVE-2016-5388)
  - HHVM (CVE-2016-1000109)
  - Python (CVE-2016-1000110)

  上記以外にも、CGI 等を利用するソフトウエアは影響を受ける可能性があり
ます。各ソフトウエアのディストリビュータや開発者から影響を受ける製品と
バージョンの情報が公開されています。詳細は、開発者からの情報などを参照
してください。


III. 対策および回避策

  脆弱性の影響を軽減するため、以下に記載する回避策の適用をご検討くだ
さい。

    - リクエストに含まれる Proxy ヘッダを無効にする

    - CGI において、環境変数 HTTP_PROXY を使用しない

    - ファイアウォールなどを用いて Web サーバからの HTTP アウトバウン
      ド通信を必要最小限に制限する

  詳細は、脆弱性の報告者や、各ソフトウエアの開発者から提供されている情
報を参照してください。

    A CGI application vulnerability for PHP, Go, Python and others
    https://httpoxy.org/

  また、各ソフトウエアのディストリビュータや開発者から脆弱性を修正した
バージョンが公開される可能性があります。ディストリビュータや開発者から
の情報を定期的に確認することをお勧めします。


IV. 参考情報

    Vulnerability Note VU#797896
    CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
    https://www.kb.cert.org/vuls/id/797896

    httpoxy.org
    A CGI application vulnerability for PHP, Go, Python and others
    https://httpoxy.org/

    SIOS Technology
    httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)
    https://oss.sios.com/security/general-security-20160719

    Red Hat, Inc.
    HTTPoxy - CGI "HTTP_PROXY" variable name clash
    https://access.redhat.com/security/vulnerabilities/httpoxy

    The Apache Software Foundation
    Advisory: Apache Software Foundation Projects and "httpoxy" CERT VU#797896
    https://www.apache.org/security/asf-httpoxy-response.txt

    NGINX
    Mitigating the HTTPoxy Vulnerability with NGINX
    https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/


-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJXjbwRAAoJEDF9l6Rp7OBI7zsH+gInZZkNrw1ZXeohlWZDMQnw
7abOFYZIwIKKwWLwatUFq0FNRizTtFR6EV0m9F/Pq+nmuQ4ScRnqfDBW/DEUTP43
i0UXymHf49RB05+k2ewoIRXK2+O8fQ7pHEyCagqqSwghRJ/z9oQPsgAmPiMGDmSy
CE8Eunb2tz8JSpGy8Frxjbt8gM01UHGdhrHpEPwq8O6FtBWWTyvrShyr4OVdYTjM
NiOzy7BteFUXSUVKkuqM3OilnwLiEBd1v84tXB90xnQlAbu2rHLyDD01RqDhMohw
X1SUD4MY1LKJGeYVEr8jQTlftsMXDZZwOQAFVZRiYx3chItiL7Pz69NOs6wky9A=
=PY2e
-----END PGP SIGNATURE-----