各位
JPCERT-AT-2016-0031
JPCERT/CC
2016-07-19
<<< JPCERT/CC Alert 2016-07-19 >>>
CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160031.html
I. 概要
CGI 等を利用する Web サーバにおいて、脆弱性 (CVE-2016-5385 等) が報告
されています。リモートから Proxy ヘッダを含むリクエストを受信した場合に、
サーバの環境変数 HTTP_PROXY に意図しない値が設定され、脆弱性を悪用され
た場合、中間者攻撃が行われたり、不正なホストに接続させられたりするなど
の可能性があります。
以下の条件を満たすソフトウエアは本脆弱性の影響を受けます。
- 環境変数 HTTP_PROXY を参照して HTTP アウトバウンド通信を行う Web
サーバや Web アプリケーション
本脆弱性やその影響については以下を参照してください。
Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
https://www.kb.cert.org/vuls/id/797896
II. 対象
以下のソフトウエアが影響を受けます。
- PHP (CVE-2016-5385)
- GO (CVE-2016-5386)
- Apache HTTP Server (CVE-2016-5387)
- Apache Tomcat (CVE-2016-5388)
- HHVM (CVE-2016-1000109)
- Python (CVE-2016-1000110)
上記以外にも、CGI 等を利用するソフトウエアは影響を受ける可能性があり
ます。各ソフトウエアのディストリビュータや開発者から影響を受ける製品と
バージョンの情報が公開されています。詳細は、開発者からの情報などを参照
してください。
III. 対策および回避策
脆弱性の影響を軽減するため、以下に記載する回避策の適用をご検討くだ
さい。
- リクエストに含まれる Proxy ヘッダを無効にする
- CGI において、環境変数 HTTP_PROXY を使用しない
- ファイアウォールなどを用いて Web サーバからの HTTP アウトバウン
ド通信を必要最小限に制限する
詳細は、脆弱性の報告者や、各ソフトウエアの開発者から提供されている情
報を参照してください。
A CGI application vulnerability for PHP, Go, Python and others
https://httpoxy.org/
また、各ソフトウエアのディストリビュータや開発者から脆弱性を修正した
バージョンが公開される可能性があります。ディストリビュータや開発者から
の情報を定期的に確認することをお勧めします。
IV. 参考情報
Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
https://www.kb.cert.org/vuls/id/797896
httpoxy.org
A CGI application vulnerability for PHP, Go, Python and others
https://httpoxy.org/
SIOS Technology
httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)
https://oss.sios.com/security/general-security-20160719
Red Hat, Inc.
HTTPoxy - CGI "HTTP_PROXY" variable name clash
https://access.redhat.com/security/vulnerabilities/httpoxy
The Apache Software Foundation
Advisory: Apache Software Foundation Projects and "httpoxy" CERT VU#797896
https://www.apache.org/security/asf-httpoxy-response.txt
NGINX
Mitigating the HTTPoxy Vulnerability with NGINX
https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ