Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

HTTPoxy - Apache mod_fcgid は影響を受けますか?

Solution Verified - Updated -

Environment

Red Hat Enterprise Linux 7.x

Issue

PHP、Python、および Go で mod_fcgid を使用する場合、この問題の影響を受けます。場合によっては他の言語でも影響を受ける可能性があります。FastCGI スクリプトよって他のサービスへの HTTP 接続が開かれる場合、攻撃者の元のリクエストから生成された送信リクエストはすべて攻撃者が制御するプロキシーにリダイレクトされる可能性があります。

Resolution

この問題に対処するには、更新されたバージョンの httpd をインストールするか、mod_headers 拡張モジュールを使用して受信 HTTP リクエストから Proxy ヘッダーを削除します。詳細は、 HTTPoxy - Apache mod_cgi は影響を受けますか? を参照してください。

mod_fcgid 設定で FcgidPassHeader Proxy 設定ディレクティブが使用されると、更新された httpd パッケージがインストールされていても Proxy リクエストヘッダーからの値を持つ HTTP_PROXY 変数を FastCGI スクリプトが使用できることに注意してください。そのため、この問題を完全に解決するには FcgidPassHeader Proxy 設定ディレクティブを mod_fcgid 設定で使用しないでください。

Root Cause

詳細は HTTPoxy - CGI での HTTP_PROXY 変数名の競合 を参照してください。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments