「HTTP_PROXY」環境変数に不適切な値が与えられる脆弱性、多くの環境で影響 | スラド セキュリティJPCERT/CCが、CGI等を利用するWebサーバの脆弱性(CVE-2016-5385等)に関する注意喚起を行っている。 UNIX/Linux系環境で動作するHTTPクライアントの多くは、通信を行う際に「HTTP_PROXY」環境変数を参照し、もしこの環境変数が設定されていればここで指定されているホストをプロクシとして使用するという動作を行う。このHTTP_PROXY環境は本来はサーバーやアプリケーションを実行する側が設定するものであるが、HTTPリクエストヘッダを利用してこれを外部から任意の値に書き換えることができるという(INTERNET Watch、ITmedia、JPCERT/CC)。 kb.cert.orgの説明が分かりやすいが、CGIの動作について記述したRFC3875の4.1.18.では、HTTPヘッダの形でサーバーに渡されたメタ変数について、その変数名を大文字にし、「-」
