現在位置: ホーム / セキュリティ ブログ / httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)

httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)

7/19(JST)に、httpdを含むCGIアプリケーション関連の脆弱性(httpoxy)が報告されています。範囲も影響度合いも広いので、ここでは各ディストリビューション対応状況をまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

7/19(JST)に、httpdを含むCGIアプリケーション関連の脆弱性(httpoxy)が報告されています。環境変数の"HTTP_PROXY"という汎用的な利用方法に対する脆弱性で、影響度合いもImportantになっていますので、ここでは、これらの脆弱性についてと、各ディストリビューションの対応について簡単にまとめてみます。

各ディストリビューションの対応状況は逐次更新します。

 


まとめサイト

httpoxy


関連するCVE

代表的なもの(詳しくは、まとめサイトのhttproxy.orgを参照して下さい

CVE-2016-5385: PHP

CVE-2016-5386: GO

CVE-2016-5387: apache

CVE-2016-5388: Apache Tomcat

CVE-2016-1000110: Python

Priority

Important

脆弱性概要(詳細はまとめサイトをご確認ください)

poxy

  • 言語やCGIスクリプトを利用してProxyヘッダーを書き換え、不正なサーバへリダイレクトを行う可能性

  • 重要度 - Important

  • 脆弱性のあるHTTPクライアントがサーバサイドのCGIアプリケーションを実行している際に、外部に向けてHTTP接続をすると、攻撃者は下記のようなことが出来るようになります:

    • Webアプリケーションによる外部へのHTTPリクエストをProxyする

    • サーバに対して彼らが選んだアドレス:ポートへの外部接続をオープンさせる

       

    • 脆弱性のあるソフトウェアを用いて悪意のあるプロキシを使わせる

       


主なディストリビューションの対応方法

[参考]

https://httpoxy.org


[セミナー告知]

11/30(水)に「OSSセキュリティナイター vol.3」と題して、セキュリティのセミナーを行います。

この回では、世界で最も利用されているオープンソースデータベースであるMySQLを取り上げ、『MySQLデータベースのセキュリティを考える 〜 重要データを守るために必要なこと〜』と題してセミナーを開催します。

今回も、前回に引き続き、ゲスト講師としてMySQLスペシャリストをお招きし講演をいただきます。

http://connpass.com/event/44819/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン