脆弱性『httpoxy』に対処する

割れたガラス

PHPやPythonといったメジャーなプログラミング言語に影響する脆弱性「httpoxy」が発見されました。
とは言っても、15年も前に「libwww-perl」で発見され修正されたけれども、当時はそれ以上詳しく調査されずに今になって表面化したということです。

この脆弱性は、CGIまたは類似のコンテキストで動作しているWebアプリケーションが影響を受け、中間者攻撃(man-in-the-middle attack)を受けたり、サーバを任意のホストに接続させられたりする可能性があるそうです。

参考サイト

対策

第一に、影響を受けるソフトウェアを対処済バージョンへアップデートすることです。
ただし、現在確認されている以外にも今後、影響を受けるソフトウェアが増える可能性があるとのことです。
※アップデートできない、パッチが公開されていないなどの場合には、次の回避策を行います。

回避策

WebサーバーにてProxyヘッダーをブロックすることです。
ApacheやNginxなどの設定例が専用サイト(httpoxy)などで公開されております。
※注意:筆者の環境はCentOS(Apache)のため、RedHat社(HTTPoxy – Is my Apache mod_cgi affected?が公開している設定を追記しました。

[root@server ~]# vi /etc/httpd/conf/httpd.conf
...
RequestHeader unset Proxy
...

Apacheの設定ファイル(httpd.conf)に上記の1行を追記すればOK。(ただし、mod_headerが必要です)

検証

専用サイト(httpoxy)がGitHubにてPoCを公開しています。
httpoxy · GitHub

検証方法

筆者はRedHat社のフォーラムにあった方法(少し調整)で検証しました。
※しっかりと検証したい場合には、上記のPoCにて検証しましょう。

1.検証したいサーバーのWebアクセスできる領域に以下の内容を記載したPHPファイル(例:httpoxy.php)を設置する。

<?php
var_dump($_SERVER['HTTP_PROXY']);
putenv('HTTP_PROXY=');
var_dump(getenv('HTTP_PROXY'));
exit;
?>

2.curlコマンドでProxyヘッダをセットして、先ほどのPHPファイル(例:httpoxy.php)に送信する。

[root@server ~]# curl -H 'Proxy: 127.0.0.1:12345' "http://example.com/httpoxy.php"

▼ 対処前の場合
string(15) "127.0.0.1:12345"
string(15) "127.0.0.1:12345"

▼ 対処後の場合
NULL
string(0) ""
スポンサーリンク

ABOUT

IT系零細企業のWebプログラマーって肩書きの何でも屋。 最近は、もっぱらWeb系広告やWindows向けソフトウェア開発、サーバー運用・保守、更には営業事務的業務などがメインで、プログラムにはノータッチ状態。ゲームやアニメ・映画・海外ドラマの鑑賞、猫との戯れを癒やしとして、今日も通勤中。