「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響

PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。

» 2016年07月19日 08時11分 公開
[鈴木聖子ITmedia]

 PHP、Go、Pythonなどの主要なプログラミング言語に影響するCGIアプリケーションの脆弱性が発覚した。発見者はこの脆弱性を「httpoxy」と命名し、7月18日に詳しい情報を公開。悪用は極めて簡単とされ、米セキュリティ機関もパッチまたは回避策の適用といった対策を直ちに講じるよう呼び掛けている。

 httpoxyの情報サイトや米CERT/CC、SANS Internet Storm Centerなどによると、この問題はWebアプリケーションにおけるHTTP「Proxy」ヘッダの不適切な使用に起因する。CGIまたはCGIのようなコンテキストで運用されているWebサーバでは、クライアントにリクエストされたHTTP Proxyヘッダが「HTTP_PROXY」として環境変数に割り当てられることがある。

脆弱性が確認された環境(httpoxyの情報サイトより)

 Webアプリケーションにこの問題が存在している場合、脆弱性を突かれて中間者攻撃を仕掛けられたり、サーバが任意のホストに接続させられたりする恐れがある。

 脆弱性は、PHP、Python、Goを使ったCGIベースのアプリケーションで確認されたほか、まだ未確認のアプリケーションが多数存在するとみられる。

 対策では、各プロジェクトからリリースされているパッチをできるだけ早く適用する必要がある。また、Proxyリクエストヘッダをブロックするなどの回避策も有効とされ、httpoxyの情報サイトで詳しく解説している。

 この問題は、2001年に「libwww-perl」で発見されて修正されたものの、それ以上詳しく調査されないまま現在に至り、PHPなど他の言語やライブラリの多くに影響が及ぶことが今になって判明したという。

ベンダーごとの影響の状況(米CERT/CCより)

Copyright © ITmedia, Inc. All Rights Reserved.