JPCERT/CC(一般社団法人 JPCERT コーディネーションセンター)は、CGI等を利用するWebサーバにおいて、リモートからProxyヘッダを含むリクエストを受信した場合にサーバの環境変数HTTP_PROXYに意図しない値が設定される可能性があるCVE-2016-5385等に関する注意喚起を行った。
脆弱性が悪用されると、通信しようとする二者間に入りこんで情報を盗聴する中間者攻撃(man-in-the-middle)や不正なホストへの接続などの可能性がある。
関連する脆弱性はPHP (CVE-2016-5385)/GO (CVE-2016-5386)/Apache HTTP Server (CVE-2016-5387)/Apache Tomcat (CVE-2016-5388) /HHVM (CVE-2016-1000109)/Python (CVE-2016-1000110)と広く、これら以外にもCGI等を利用するソフトウェアが影響する可能性がある。
影響軽減のための回避策としては、
・リクエストに含まれる Proxy ヘッダを無効にする
・CGI において、環境変数 HTTP_PROXY を使用しない
・ファイアウォールなどを用いて Web サーバからの HTTP アウトバウンド通信を必要最小限に制限する
を掲げている。その他、ディストリビュータや開発者からの情報、脆弱性修正バージョンなど参考情報へのリンクが掲載されている。
JPCERT/CC掲載の参考情報へのリンク
Vulnerability Note VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables
https://www.kb.cert.org/vuls/id/797896
httpoxy.org
A CGI application vulnerability for PHP, Go, Python and others
https://httpoxy.org/
SIOS Technology
httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)
https://oss.sios.com/security/general-security-20160719
Red Hat, Inc.
HTTPoxy - CGI "HTTP_PROXY" variable name clash
https://access.redhat.com/security/vulnerabilities/httpoxy
The Apache Software Foundation
Advisory: Apache Software Foundation Projects and "httpoxy" CERT VU#797896
https://www.apache.org/security/asf-httpoxy-response.txt
NGINX
Mitigating the HTTPoxy Vulnerability with NGINX
https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/
