JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

  1. 最新情報を取得 (RSS | メーリングリスト
  2. HTTPS
  3. モバイル

Home > 情報提供 > 注意喚起 > 2016 > CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起

最終更新: 2016-07-19

CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起

各位

                                                  JPCERT-AT-2016-0031
                                                            JPCERT/CC
                                                           2016-07-19

                 <<< JPCERT/CC Alert 2016-07-19 >>>

CGI 等を利用する Web サーバの脆弱性 (CVE-2016-5385 等) に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160031.html


I. 概要

  CGI 等を利用する Web サーバにおいて、脆弱性 (CVE-2016-5385 等) が報告
されています。リモートから Proxy ヘッダを含むリクエストを受信した場合に、
サーバの環境変数 HTTP_PROXY に意図しない値が設定され、脆弱性を悪用され
た場合、中間者攻撃が行われたり、不正なホストに接続させられたりするなど
の可能性があります。

  以下の条件を満たすソフトウエアは本脆弱性の影響を受けます。

  - 環境変数 HTTP_PROXY を参照して HTTP アウトバウンド通信を行う Web
    サーバや Web アプリケーション

  本脆弱性やその影響については以下を参照してください。

    Vulnerability Note VU#797896
    CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
    https://www.kb.cert.org/vuls/id/797896


II. 対象

  以下のソフトウエアが影響を受けます。

  - PHP (CVE-2016-5385)
  - GO (CVE-2016-5386)
  - Apache HTTP Server (CVE-2016-5387)
  - Apache Tomcat (CVE-2016-5388)
  - HHVM (CVE-2016-1000109)
  - Python (CVE-2016-1000110)

  上記以外にも、CGI 等を利用するソフトウエアは影響を受ける可能性があり
ます。各ソフトウエアのディストリビュータや開発者から影響を受ける製品と
バージョンの情報が公開されています。詳細は、開発者からの情報などを参照
してください。


III. 対策および回避策

  脆弱性の影響を軽減するため、以下に記載する回避策の適用をご検討くだ
さい。

    - リクエストに含まれる Proxy ヘッダを無効にする

    - CGI において、環境変数 HTTP_PROXY を使用しない

    - ファイアウォールなどを用いて Web サーバからの HTTP アウトバウン
      ド通信を必要最小限に制限する

  詳細は、脆弱性の報告者や、各ソフトウエアの開発者から提供されている情
報を参照してください。

    A CGI application vulnerability for PHP, Go, Python and others
    https://httpoxy.org/

  また、各ソフトウエアのディストリビュータや開発者から脆弱性を修正した
バージョンが公開される可能性があります。ディストリビュータや開発者から
の情報を定期的に確認することをお勧めします。


IV. 参考情報

    Vulnerability Note VU#797896
    CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
    https://www.kb.cert.org/vuls/id/797896

    httpoxy.org
    A CGI application vulnerability for PHP, Go, Python and others
    https://httpoxy.org/

    SIOS Technology
    httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)
    https://oss.sios.com/security/general-security-20160719

    Red Hat, Inc.
    HTTPoxy - CGI "HTTP_PROXY" variable name clash
    https://access.redhat.com/security/vulnerabilities/httpoxy

    The Apache Software Foundation
    Advisory: Apache Software Foundation Projects and "httpoxy" CERT VU#797896
    https://www.apache.org/security/asf-httpoxy-response.txt

    NGINX
    Mitigating the HTTPoxy Vulnerability with NGINX
    https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル

JPCERT/CCからのお知らせ

2016-07-14
JPCERT/CC インシデント報告対応レポート [2016年4月1日~2016年6月30日]を公開
2016-07-14
JPCERT/CC 活動概要 [2016年4月1日~2016年6月30日]を公開
2016-07-07
サイバーセキュリティ対策活動への協力者に感謝状贈呈
2016-06-29
2015年度 CSIRT構築および運用における実態調査 を公開
お知らせ一覧 お知らせRSS
パスワードリスト攻撃による不正ログイン防止

イベント

・APCERTカンファレンス2016 講演者の募集開始

過去のイベント お知らせRSS

お薦めページ

・分析センターだより「攻撃者の行動によって残る痕跡を調査(2016-06-28)」
・分析センターだより「ショートカットファイルから感染するマルウエアAsruex(2016-06-23)」
・分析センターだより「Import APIとFuzzy Hashingでマルウエアを分類する ~impfuzzy~(2016-05-09)」
・分析センターだより「Adwindが持つ難読化された文字列の解読(2016-04-25)」
・高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて

講演・執筆活動

講演資料公開中
・「日本の組織をターゲットにした 攻撃キャンペーンの詳細 」
・「Active Directoryが危ない!標的型攻撃から守れ」
・「Android Secure Coding」
・「Recommendation of Perfect Unpacking」
・「Webアプリケーション開発におけるHTML5のセキュリティ」
JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。

過去の講演・執筆一覧
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english
  1. ご利用にあたってのお願い
  2. プライバシーポリシー
Copyright © 1996-2016 JPCERT/CC All Rights Reserved.