CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起

CGI

JPCERTよりCGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起がありましたので、下記の通りご報告させていただきます。

概要

CGI 等を利用する Web サーバにおいて、脆弱性 (CVE-2016-5385 等) が報告されています。リモートから Proxy ヘッダを含むリクエストを受信した場合に、サーバの環境変数HTTP_PROXY に意図しない値が設定され、脆弱性を悪用された場合、中間者攻撃が行われたり、不正なホストに接続させられたりするなどの可能性があります。
以下の条件を満たすソフトウエアは本脆弱性の影響を受けます。

環境変数 HTTP_PROXY を参照して HTTP アウトバウンド通信を行う Webサーバや Web アプリケーション

本脆弱性やその影響については以下を参照してください。
Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
https://www.kb.cert.org/vuls/id/797896

対象

以下のソフトウエアが影響を受けます。

  • PHP (CVE-2016-5385)
  • GO (CVE-2016-5386)
  • Apache HTTP Server (CVE-2016-5387)
  • Apache Tomcat (CVE-2016-5388)
  • HHVM (CVE-2016-1000109)
  • Python (CVE-2016-1000110)

上記以外にも、CGI 等を利用するソフトウエアは影響を受ける可能性があります。各ソフトウエアのディストリビュータや開発者から影響を受ける製品とバージョンの情報が公開されています。詳細は、開発者からの情報などを参照してください。

対策および回避策

脆弱性の影響を軽減するため、以下に記載する回避策の適用をご検討ください。

  • リクエストに含まれる Proxy ヘッダを無効にする
  • CGI において、環境変数 HTTP_PROXY を使用しない
  • ファイアウォールなどを用いて Web サーバからの HTTP アウトバウンド通信を必要最小限に制限する

詳細は、脆弱性の報告者や、各ソフトウエアの開発者から提供されている情報を参照してください。
A CGI application vulnerability for PHP, Go, Python and others
https://httpoxy.org/

また、各ソフトウエアのディストリビュータや開発者から脆弱性を修正したバージョンが公開される可能性があります。ディストリビュータや開発者からの情報を定期的に確認することをお勧めします。

参考情報

備考

最終更新日

2016.07.26

公開日

2016.07.26

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)