「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。
PHP、Go、Pythonなどの主要なプログラミング言語に影響するCGIアプリケーションの脆弱性が発覚した。発見者はこの脆弱性を「httpoxy」と命名し、7月18日に詳しい情報を公開。悪用は極めて簡単とされ、米セキュリティ機関もパッチまたは回避策の適用といった対策を直ちに講じるよう呼び掛けている。
httpoxyの情報サイトや米CERT/CC、SANS Internet Storm Centerなどによると、この問題はWebアプリケーションにおけるHTTP「Proxy」ヘッダの不適切な使用に起因する。CGIまたはCGIのようなコンテキストで運用されているWebサーバでは、クライアントにリクエストされたHTTP Proxyヘッダが「HTTP_PROXY」として環境変数に割り当てられることがある。
Webアプリケーションにこの問題が存在している場合、脆弱性を突かれて中間者攻撃を仕掛けられたり、サーバが任意のホストに接続させられたりする恐れがある。
脆弱性は、PHP、Python、Goを使ったCGIベースのアプリケーションで確認されたほか、まだ未確認のアプリケーションが多数存在するとみられる。
対策では、各プロジェクトからリリースされているパッチをできるだけ早く適用する必要がある。また、Proxyリクエストヘッダをブロックするなどの回避策も有効とされ、httpoxyの情報サイトで詳しく解説している。
この問題は、2001年に「libwww-perl」で発見されて修正されたものの、それ以上詳しく調査されないまま現在に至り、PHPなど他の言語やライブラリの多くに影響が及ぶことが今になって判明したという。
関連記事
- 「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響
「脆弱性の影響は多くのサードパーティープログラムに及び、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能」とされる。 - 企業のオープンソース利用急増、16件中1件に脆弱性など危険増大
企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。 - APIフレームワーク「Swagger」に深刻な脆弱性、主要言語に影響
攻撃者が悪質な細工を施したSwagger文書を利用して、クライアントやサーバでリモートからコードを実行し、サービスシステムの定義に干渉できてしまう恐れがあるという。 - Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.