買いたたかれるセキュリティ人材は本当に不足しているのか?:セキュリティクラスタ まとめのまとめ 2016年7月版(3/3 ページ)
CGIの通信が盗聴されるかもしれない脆弱性「httpoxy」が公開される
7月18日には「httpoxy」と名付けられた脆弱性が公開されました。公開の際には、最近の大きな(と報告者が考えている)脆弱性が公開されるときと同様に、Webサイト「https://httpoxy.org/」とロゴが準備され、Twitterアカウントも準備される(結局ツイートは1回しかされませんでしたが……)など、万全の体制が整えられていました。
httpoxyはCGIを利用するWebサーバの脆弱性で、PHPやGo、Pythonなどの言語で実装されたCGIアプリケーションに対して「Proxy」ヘッダを付けたHTTPリクエストを送信すると、Webサーバの「HTTP_PROXY」環境変数に、送信された値が設定されてしまうというものでした。
アプリケーションによってはこの「HTTP_PROXY」環境変数の値をHTTPプロキシのアドレスとして扱うため、外部から設定されたプロキシに通信を盗聴されたり改ざんされたりする危険がありました。実はこの問題の存在は一部の人にはずっと前から知られていたようですが、なぜか放置されていたとのことです。
「httpoxy」Webサイトには脆弱性の詳細な内容や動作環境が書かれており、実際に実験可能なPoCも公開されていたため、日本でも実際に脆弱性を試した人や、それぞれの環境に対して対策を行った人がツイートを行っていました。
httpoxyはたくさんのメジャーなWebサーバと言語が含まれる、広範囲に及ぶ脆弱性ですが、実際に脆弱性のあるアプリケーションに対して攻撃が行われている様子はなく、再現する環境も限られていることからそれほどの大騒ぎにはなりませんでした。脆弱性が存在する言語やWebサーバなどの多くではすぐにアップデートが公開され、現場では粛々と対策が進んだようです。
この他にも、2016年7月のセキュリティクラスタは以下のような話題で盛り上がっていました。8月はどのようなことが起きるのでしょうね。
- 教育システム「性善説」のセキュリティだったから高校生に不正アクセスされた?
- 成城学園のリモートデスクトップアカウントが売られていたことが発覚
- アルバムアプリ「リコネ」個人情報流出でサービス終了
- コミケ関係者に衝撃!? 同人誌印刷で知られる京都市の企業から法人の情報流出
- エフエム愛知の11万件のメール会員情報が流出
- 退職者のアカウント、実は放置されている?
著者プロフィール
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。
関連記事
2015年の情報セキュリティ関連トピック、まとめました
「Pokemon GO」アカウントが高値で売買、専門家がセキュリティリスクに警鐘
「Pokemon GO」のサーバダウン、複数のハッカーが犯行表明──8月1日の犯行予告もCopyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。