HTTPoxyに関する脆弱性

https://access.redhat.com/ja/security/vulnerabilities/2448831
https://www.jpcert.or.jp/at/2016/at160031.html
https://httpoxy.org/

CGI 等を利用する Web サーバにおいて、脆弱性が報告されています。
リモートから Proxy ヘッダを含むリクエストを受信した場合に、
サーバの環境変数 HTTP_PROXY に意図しない値が設定され、
脆弱性を悪用された場合、中間者攻撃が行われたり、
不正なホストに接続させられたりするなどの可能性があります。

各ディストリビューションのRPMは修正版が出ているので適用すればよし。

Apacheをソースで設置している場合の対応

mod_headersがインストールされているかどうか確認

# /usr/local/apache/bin/httpd -M | grep headers
headers_module (shared)

入っていない場合

# cd /usr/local/src/httpd-2.2.xx/modules/metadata
# /usr/local/apache2/bin/apxs -c mod_headers.c
# /usr/local/apache2/bin/apxs -ian headers mod_headers.la

何事もなければhttpd.confに自動的にLoadModuleの記載が追記される

apxs:Error: Activation failed for custom /usr/local/apache-2.2.31/conf/httpd.conf file..
apxs:Error: At least one `LoadModule' directive already has to exist..

まれにこんなエラーが出る環境もある
その場合は自分で追記

# vi /usr/local/apache2/conf/httpd.conf
LoadModule headers_module modules/mod_headers.so

HTTP_PROXYの環境変数をクリアするよう追記
# vi /usr/local/apache2/conf/httpd.conf
RequestHeader unset Proxy

Apacheを再起動して確認
# service httpd restart

Author: soh

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA