ここから本文です

「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのGCIアプリに影響

ITmedia エンタープライズ 7月19日(火)8時18分配信

 PHP、Go、Pythonなどの主要なプログラミング言語に影響するCGIアプリケーションの脆弱性が発覚した。発見者はこの脆弱性を「httpoxy」と命名し、7月18日に詳しい情報を公開。悪用は極めて簡単とされ、米セキュリティ機関もパッチまたは回避策の適用といった対策を直ちに講じるよう呼び掛けている。

【その他の画像】

 httpoxyの情報サイトや米CERT/CC、SANS Internet Storm Centerなどによると、この問題はWebアプリケーションにおけるHTTP「Proxy」ヘッダの不適切な使用に起因する。CGIまたはCGIのようなコンテキストで運用されているWebサーバでは、クライアントにリクエストされたHTTP Proxyヘッダが「HTTP_PROXY」として環境変数に割り当てられることがある。

 Webアプリケーションにこの問題が存在している場合、脆弱性を突かれて中間者攻撃を仕掛けられたり、サーバが任意のホストに接続させられたりする恐れがある。

 脆弱性は、PHP、Python、Goを使ったCGIベースのアプリケーションで確認されたほか、まだ未確認のアプリケーションが多数存在するとみられる。

 対策では、各プロジェクトからリリースされているパッチをできるだけ早く適用する必要がある。また、Proxyリクエストヘッダをブロックするなどの回避策も有効とされ、httpoxyの情報サイトで詳しく解説している。

 この問題は、2001年に「libwww-perl」で発見されて修正されたものの、それ以上詳しく調査されないまま現在に至り、PHPなど他の言語やライブラリの多くに影響が及ぶことが今になって判明したという。

最終更新:7月19日(火)9時45分

ITmedia エンタープライズ