PHPに関するHTTPOXY脆弱性の問題と対応方法 - Code Day's Night

外部から簡単にHTTP_PROXYという環境変数がセットでき、サーバ間通信や外部サイトと連携している場合に影響があるかもしれない脆弱性です。(HTTPoxy. CVE-2016-5385) PHPの場合はphp-fpm, mod_php, Guzzle4以上やいくつかのライブラリで影響あります。 対応方法は簡単です。 Apache側で対応する場合は、mod_headerを使える状況であれば、confファイルに下記の1行を追加。 RequestHeader unset Proxy FastCGIの場合は下記の1行を追加。 fastcgi_param HTTP_PROXY ""; Guzzleは6.2.1で対応されたようです。 Release 6.2.1 release · guzzle/guzzle · GitHub コミットログを見ると、CLIの時のみ、getenv('HTTP_PROXY

[Akaza]

httpoxy / 公式(?)の方にもついてたけど、early必要なんだろうか。/ (追記) RHELではhttpdパッケージが更新され、このワークアラウンドは不要になったようだ。

[stealthinu]

apacheでmod_headerを使える状況ならRequestHeader unset proxy earlyで対応可能と。

[lyiase]

これPHPに限らず、ほぼすべてのCGIで動かすサーバーサイドのプログラミング言語で影響するみたいだね。 https://httpoxy.org/

[kaz_29]

対応完了！

[kita-tuba]

PHPに関するHTTPOXY脆弱性の問題と対応方法

[papiro]

これが一番シンプルで良さそう

[igrep]

CGIェ…

[UDONCHAN]

へーへー

[raimon49]

Guzzleはphp_sapi_name()がcliの時のみProxy経由に。

[uunfo]

タイトル修正してって思ったけどそういう名称が付いたのか

[masudaK]

Guzzleさん

[Dai_Kamijo]

“PHPに関するHTTPOXY脆弱性の問題と対応方法 - Code Day's Night” — Masao Maeda (@brtriver) July 19, 2016 from Twitter https://twitter.com/Dai_Kamijo July 23, 2016 at 08:53AM via IFTTT

[ya--mada]

https://httpoxy.org/ なるほど、周辺装置の問題なのか。CGIの変数上書き。