CGIを利用するWebサーバーの脆弱性、中間者攻撃や不正なホストへの接続に悪用の恐れ

JPCERT/CCによる注意喚起

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は19日、CGIなどを利用するWebサーバーの脆弱性（httpoxy）に関する注意喚起を発表した。リモートからProxyヘッダーを含むリクエストを受信した場合にWebサーバーの環境変数“HTTP_PROXY”に意図しない値が設定され、最悪の場合、中間者攻撃や不正なホストへの接続に悪用される恐れがあるという。

　本脆弱性の影響を受けるのは、環境変数“HTTP_PROXY”を参照してHTTPアウトバウンド通信を行うWebサーバーやWebアプリケーション。現在のところ、以下のソフトウェアに対して脆弱性が報告されているという。

• PHP（CVE-2016-5385）
• Go（CVE-2016-5386）
• Apache HTTP Server（CVE-2016-5387）
• Apache Tomcat（CVE-2016-5388）
• HHVM（CVE-2016-1000109）
• Python（CVE-2016-1000110）

　また、上記のソフトウェア以外にもCGIを利用するソフトウェアは影響を受ける可能性がある。Webアプリケーションの開発者やWebサイトの管理者は、開発元が提供する情報やアナウンスに引き続き注意したい。

　なお、JPCERT/CCによると以下の回避策により脆弱性の影響を軽減することができるとのこと。

• リクエストに含まれるProxyヘッダーを無効にする
• CGIにおいて環境変数“HTTP_PROXY”を使用しない
• ファイヤーウォールなどを用いてWebサーバーからのHTTPアウトバウンド通信を必要最小限に制限する