HTTPoxy - Apache mod_cgi は影響を受けますか?
Environment
Red Hat Enterprise Linux 4.x
Red Hat Enterprise Linux 5.x
Red Hat Enterprise Linux 6.x
Red Hat Enterprise Linux 7.x
Red Hat Software Collections (Red Hat Enterprise Linux 6 および 7)
Red Hat JBoss Web Server 1.x
Red Hat JBoss Web Server 2.x
Red Hat JBoss Web Server 3.x
Red Hat JBoss Enterprise Application Platform 5.x
Red Hat JBoss Enterprise Application Platform 6.x
Issue
PHP、Python、および Go で Apache httpd の mod_cgi を使用する場合、この問題の影響を受けます。場合によっては他の言語でも影響を受ける可能性があります。CGI スクリプトによって他のサービスへのネットワーク接続が開かれると、攻撃者の元のリクエストから生成された送信リクエストはすべて攻撃者が制御するプロキシーへリダイレクトされる可能性があります。これにより、攻撃者は機密情報を閲覧できる可能性があり、また接続を開いたままにしてサービス拒否 (DoS) を発生できる可能性があります。
Resolution
この問題に対応するために httpd が変更され、Proxy HTTP ヘッダーの値を CGI スクリプト環境にエクスポートしないようになりました。変更が適用されている Red Hat 製品の httpd エラータリストは、HTTPoxy - CGI での HTTP_PROXY 変数名の競合 の「解決法」タブを参照してください。
この代わりに httpd 設定でこの問題に対処するには、以下の設定を持つ mod_headers 拡張モジュールを使用します。
RequestHeader unset Proxy
この設定を使用すると、CGI 環境を初期化する前に受信 HTTP リクエストからの Proxy ヘッダーの設定が解除されます。「RequestHeader」設定ディレクティブに関する詳細は、 Apache - Mod Headers を参照してください。
Root Cause
詳細は HTTPoxy - CGI での HTTP_PROXY 変数名の競合 を参照してください。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments