写真提供:マイナビニュース

写真拡大

JPCERT/CC(一般社団法人 JPCERT コーディネーションセンター)は、CGI等を利用するWebサーバにおいて、リモートからProxyヘッダを含むリクエストを受信した場合にサーバの環境変数HTTP_PROXYに意図しない値が設定される可能性があるCVE-2016-5385等に関する注意喚起を行った。

脆弱性が悪用されると、通信しようとする二者間に入りこんで情報を盗聴する中間者攻撃(man-in-the-middle)や不正なホストへの接続などの可能性がある。

関連する脆弱性はPHP (CVE-2016-5385)/GO (CVE-2016-5386)/Apache HTTP Server (CVE-2016-5387)/Apache Tomcat (CVE-2016-5388) /HHVM (CVE-2016-1000109)/Python (CVE-2016-1000110)と広く、これら以外にもCGI等を利用するソフトウェアが影響する可能性がある。

影響軽減のための回避策としては、
・リクエストに含まれる Proxy ヘッダを無効にする
・CGI において、環境変数 HTTP_PROXY を使用しない
・ファイアウォールなどを用いて Web サーバからの HTTP アウトバウンド通信を必要最小限に制限する

を掲げている。その他、ディストリビュータや開発者からの情報、脆弱性修正バージョンなど参考情報へのリンクが掲載されている。

JPCERT/CC掲載の参考情報へのリンク
Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables

httpoxy.org
A CGI application vulnerability for PHP, Go, Python and others

SIOS Technology
httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)

Red Hat, Inc.
HTTPoxy - CGI "HTTP_PROXY" variable name clash

The Apache Software Foundation
Advisory: Apache Software Foundation Projects and "httpoxy" CERT VU#797896

NGINXMitigating the HTTPoxy Vulnerability with NGINX

(長岡弥太郎)