CGIにおいて環境変数HTTP_PROXYを使用するWebサーバ、Webアプリに脆弱性(JPCERT/CC) | ScanNetSecurity
2026.05.23(土)

CGIにおいて環境変数HTTP_PROXYを使用するWebサーバ、Webアプリに脆弱性(JPCERT/CC)

JPCERT/CCは、「CGI等を利用するWebサーバの脆弱性(CVE-2016-5385等)」に関する注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
43 views
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月19日、「CGI等を利用するWebサーバの脆弱性(CVE-2016-5385等)」に関する注意喚起を発表した。これは、CGI等を利用するWebサーバにおいて、リモートからProxyヘッダを含むリクエストを受信した場合に、サーバの環境変数HTTP_PROXYに意図しない値が設定されるというもの。脆弱性を悪用されると、中間者攻撃が行われたり、不正なホストに接続されるなどの可能性がある。

この脆弱性は、環境変数HTTP_PROXYを参照してHTTPアウトバウンド通信を行う WebサーバやWebアプリケーションに存在し、「PHP(CVE-2016-5385)」「GO(CVE-2016-5386)」「Apache HTTP Server(CVE-2016-5387)」「Apache Tomcat(CVE-2016-5388)」「HHVM(CVE-2016-1000109)」「Python(CVE-2016-1000110)」が影響を受けることが確認されている。

JPCERT/CCでは、「リクエストに含まれるProxyヘッダを無効にする」「CGIにおいて、環境変数HTTP_PROXYを使用しない」「ファイアウォールなどを用いてWebサーバからのHTTPアウトバウンド通信を必要最小限に制限する」といった回避策を適用することで、脆弱性の影響を軽減できるとしている。また、各ソフトウェアのディストリビュータや開発者から脆弱性を修正したバージョンが公開される可能性があるので、ディストリビュータや開発者からの情報を定期的に確認することを勧めている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

    経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

  2. アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

    アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

  3. ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

    ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

  4. イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

    イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

  5. Fortinet, Palo Alto, Cisco ~ 国産CNAPP「Cloudbase」がネットワーク機器の脆弱性可視化機能リリース

    Fortinet, Palo Alto, Cisco ~ 国産CNAPP「Cloudbase」がネットワーク機器の脆弱性可視化機能リリース

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP