15年来のセキュリティホール「httpoxy」、PHPやPythonなどCGIアプリに影響

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2016-07-20 12:32

 15年来のセキュリティホールが今になって表面化した。開発者らは緊急パッチを適用する必要がある。

 The Registerで報道されている通り、PHP、Go、ApacheのHTTPサーバ、Apache TomCat、PHP実行環境のHHVM、Pythonなどをはじめとするさまざまなサーバサイド関連ソフトウェアが、この「httpoxy」と名付けられたセキュリティホールの影響を受ける。

 この脆弱性はCGIや類似の環境で実行されているアプリケーションに影響する。HTTPのリクエストヘッダの情報を、RFC 3875で規定されている命名規則に従って環境変数に登録すると、Proxyヘッダの内容は「HTTP_PROXY」変数に格納されるが、脆弱性のある環境では、この情報がプロキシの設定に使用されてしまう。

 この脆弱性を悪用すると、遠隔にいる攻撃者がリモートからコードを実行することが可能になる。

 この問題を発見して情報開示を組織したVendのセキュリティチームは、ウェブドメインがセキュリティ侵害を受けるのを防ぐためには、ただちにProxyヘッダをブロックする必要があると述べている。ただし、この脆弱性が存在するのはサーバサイドのウェブアプリケーションであるため、サーバ側でコードを実行していなければ、対応は必要ない。

 同チームは「今後あまり使用されていないソフトウェアのチェックが進むにつれて、httpoxyに関するCVEが増える可能性がある」と述べている。

 一連の脆弱性には、影響を受けるソフトウェアに応じて、異なるCVE番号が割り当てられている。現時点で割り当てられているCVE番号は、CVE-2016-5385(PHP)、CVE-2016-5386(Go)、CVE-2016-5387(Apache HTTP)、CVE-2016-5388(Apache TomCat)、CVE-2016-1000109(HHVM)、CVE-2016-1000110(Python)だ。

 このバグは、15年以上前からさまざまなソフトウェアで発見されていたが、現在までこの脆弱性が実際に悪用された例は見つかっていなかった。

 「LWP、curl、Rubyのチームが、過去15年の間にこの問題に気づいており、現在でもさらに多数のアプリケーションに脆弱性が存在することを考えると、以前の発見は、CGIを使用しているすべての人たちに対して大きく緊急性がある情報として伝えられなかったからとしか考えられない。今回のことで、ある程度大きく修正を求めることになるだろうとわれわれは考えている」と同チームは述べている。

 US CERT、Red HatApacheMicrosoft DrupalNGINXFastlyCloudFlareAkamaiがセキュリティアドバイザリを公表している。

httpoxy

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]