15年来のセキュリティホール「httpoxy」、PHPやPythonなどCGIアプリに影響

　15年来のセキュリティホールが今になって表面化した。開発者らは緊急パッチを適用する必要がある。

　The Registerで報道されている通り、PHP、Go、ApacheのHTTPサーバ、Apache TomCat、PHP実行環境のHHVM、Pythonなどをはじめとするさまざまなサーバサイド関連ソフトウェアが、この「httpoxy」と名付けられたセキュリティホールの影響を受ける。

　この脆弱性はCGIや類似の環境で実行されているアプリケーションに影響する。HTTPのリクエストヘッダの情報を、RFC 3875で規定されている命名規則に従って環境変数に登録すると、Proxyヘッダの内容は「HTTP_PROXY」変数に格納されるが、脆弱性のある環境では、この情報がプロキシの設定に使用されてしまう。

　この脆弱性を悪用すると、遠隔にいる攻撃者がリモートからコードを実行することが可能になる。

　この問題を発見して情報開示を組織したVendのセキュリティチームは、ウェブドメインがセキュリティ侵害を受けるのを防ぐためには、ただちにProxyヘッダをブロックする必要があると述べている。ただし、この脆弱性が存在するのはサーバサイドのウェブアプリケーションであるため、サーバ側でコードを実行していなければ、対応は必要ない。

　同チームは「今後あまり使用されていないソフトウェアのチェックが進むにつれて、httpoxyに関するCVEが増える可能性がある」と述べている。

　一連の脆弱性には、影響を受けるソフトウェアに応じて、異なるCVE番号が割り当てられている。現時点で割り当てられているCVE番号は、CVE-2016-5385（PHP）、CVE-2016-5386（Go）、CVE-2016-5387（Apache HTTP）、CVE-2016-5388（Apache TomCat）、CVE-2016-1000109（HHVM）、CVE-2016-1000110（Python）だ。

　このバグは、15年以上前からさまざまなソフトウェアで発見されていたが、現在までこの脆弱性が実際に悪用された例は見つかっていなかった。

　「LWP、curl、Rubyのチームが、過去15年の間にこの問題に気づいており、現在でもさらに多数のアプリケーションに脆弱性が存在することを考えると、以前の発見は、CGIを使用しているすべての人たちに対して大きく緊急性がある情報として伝えられなかったからとしか考えられない。今回のことで、ある程度大きく修正を求めることになるだろうとわれわれは考えている」と同チームは述べている。

　US CERT、Red Hat、Apache、Microsoft 、Drupal、NGINX、Fastly、CloudFlare、Akamaiがセキュリティアドバイザリを公表している。