脆弱性 HTTPoxy:CVE-2016-5387

Created:

2016-11-16 12:42:41 UTC

Modified:

2017-04-24 11:22:51 UTC

0

Was this article helpful?


Have more questions?

リクエストを送信

脆弱性 HTTPoxy:CVE-2016-5387

概要

2016 年 7 月 18 日、「HTTPoxy」という名称の脆弱性が発表されました。これは CGI または類似の環境(一部の FastCGI 構成など)で実行されるサーバサイトウェブアプリケーションの一部に影響を与えます。

ウェブサーバ、ウェブフレームワーク、プログラミング言語の中には(主に CGI 環境で)、受信したリクエスト(例えば、ユーザの有力したデータが含まれるリクエストヘッダ Proxy )に基づいて環境変数 HTTP_PROXY を設定するものがあります。この環境変数 HTTP_PROXY は、HTTP リクエストや場合によっては HTTPS リクエストに対して使用するリモートプロキシサーバを指定するために、様々なウェブクライアントソフトウェアパッケージによって使用されています。

この脆弱性はリモートから悪用できます。ウェブアプリケーションを実行する時に、アプリケーションが後続の送信リクエストに使用するプロキシサーバを攻撃者が指定することができ、「中間者攻撃」が可能になります。この脆弱性には HTTPoxy という名前が付いています。

PHP または CGI を実行している場合、直ちに Proxy ヘッダをブロックする必要があります。

追加情報は https://httpoxy.org/ をご覧ください。

原因

CGI の仕様では、環境変数にヘッダが取り込まれます。(これらは正式には “ Protocol-Specific Meta-Variables ” と呼ばれます。)これは仕様どおりの挙動であり、障害や不具合ではありません。

解決策

他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。