JPCERT コーディネーションセンター

CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起

各位

JPCERT-AT-2016-0031
JPCERT/CC
2016-07-19

JPCERT/CC Alert 2016-07-19

CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起

https://www.jpcert.or.jp/at/2016/at160031.html


I. 概要

CGI 等を利用する Web サーバにおいて、脆弱性 (CVE-2016-5385 等) が報告されています。リモートから Proxy ヘッダを含むリクエストを受信した場合に、サーバの環境変数 HTTP_PROXY に意図しない値が設定され、脆弱性を悪用された場合、中間者攻撃が行われたり、不正なホストに接続させられたりするなどの可能性があります。

以下の条件を満たすソフトウエアは本脆弱性の影響を受けます。

- 環境変数 HTTP_PROXY を参照して HTTP アウトバウンド通信を行う Web
サーバや Web アプリケーション

本脆弱性やその影響については以下を参照してください。

Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
https://www.kb.cert.org/vuls/id/797896


II. 対象

以下のソフトウエアが影響を受けます。

- PHP (CVE-2016-5385)
- GO (CVE-2016-5386)
- Apache HTTP Server (CVE-2016-5387)
- Apache Tomcat (CVE-2016-5388)
- HHVM (CVE-2016-1000109)
- Python (CVE-2016-1000110)

上記以外にも、CGI 等を利用するソフトウエアは影響を受ける可能性があります。各ソフトウエアのディストリビュータや開発者から影響を受ける製品とバージョンの情報が公開されています。詳細は、開発者からの情報などを参照してください。


III. 対策および回避策

脆弱性の影響を軽減するため、以下に記載する回避策の適用をご検討ください。

- リクエストに含まれる Proxy ヘッダを無効にする

- CGI において、環境変数 HTTP_PROXY を使用しない

- ファイアウォールなどを用いて Web サーバからの HTTP アウトバウン
ド通信を必要最小限に制限する

詳細は、脆弱性の報告者や、各ソフトウエアの開発者から提供されている情報を参照してください。

A CGI application vulnerability for PHP, Go, Python and others
https://httpoxy.org/

また、各ソフトウエアのディストリビュータや開発者から脆弱性を修正したバージョンが公開される可能性があります。ディストリビュータや開発者からの情報を定期的に確認することをお勧めします。


IV. 参考情報

Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
https://www.kb.cert.org/vuls/id/797896

httpoxy.org
A CGI application vulnerability for PHP, Go, Python and others
https://httpoxy.org/

SIOS Technology
httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)
https://oss.sios.com/security/general-security-20160719

Red Hat, Inc.
HTTPoxy - CGI "HTTP_PROXY" variable name clash
https://access.redhat.com/security/vulnerabilities/httpoxy

The Apache Software Foundation
Advisory: Apache Software Foundation Projects and "httpoxy" CERT VU#797896
https://www.apache.org/security/asf-httpoxy-response.txt

NGINX
Mitigating the HTTPoxy Vulnerability with NGINX
https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter