HTTP リクエストに任意の値をセットすることで、Web アプリケーションからの HTTP 通信を傍受したり、中間者攻撃(Man-in-the-Middle)を可能にする脆弱性が見つかっています。 専用サイト httpoxyという名前が付けられ、専用サイトが立ち上がっています。詳細は、このサイトが詳しいです。 httpoxy.org 攻撃内容 アプリケーションからHTTP通信を行う際に、環境変数HTTP_PROXYの値を、HTTPプロキシとして見るライブラリがある。 HTTPリクエストにProxyヘッダを付けられると、環境変数HTTP_PROXYにその値がセットされる。(これは、CGIの仕様) つまり、任意のプロキシを外部から指定できてしまうので、通信内容の傍受や偽装ができてしまう。 対象となる PHP アプリケーション HTTP リクエストを受けて動作する PHP アプリケーション アプ
ASKAです。 みなさんには、本当にご心配おかけいたしました。既に、週刊誌やネットでご覧になられていたでしょうが、実は、盗聴盗撮の事実に懐疑的になった周囲によって、覚せい剤の後遺症であると判断され、医療保護入院という国が定めたシステムの入院をさせられてしまっていました。本当に、病気だと思ったのでしょう。早く治療を受けさせなければと考えたのでしょう。 その行為には何の恨みも生まれてはおりません。 盗聴盗撮は本物です。巷では横行しています。皆さんも、気づかれていないだけで、被害に遭われています。ネットでは、精神科の医師の発言により、僕が精神病、統合失調症のように書かれていますが、僕は病気ではありません。精神科の医師たちは、現代のテクノロジーについて行っていないだけです。今回のできごとは、盗聴盗撮集団の思惑どおりに事が運んだということになります。 実は、このブログをUPするのは4回目のことです。
外部から簡単にHTTP_PROXYという環境変数がセットでき、サーバ間通信や外部サイトと連携している場合に影響があるかもしれない脆弱性です。(HTTPoxy. CVE-2016-5385) PHPの場合はphp-fpm, mod_php, Guzzle4以上やいくつかのライブラリで影響あります。 対応方法は簡単です。 Apache側で対応する場合は、mod_headerを使える状況であれば、confファイルに下記の1行を追加。 RequestHeader unset Proxy FastCGIの場合は下記の1行を追加。 fastcgi_param HTTP_PROXY ""; Guzzleは6.2.1で対応されたようです。 Release 6.2.1 release · guzzle/guzzle · GitHub コミットログを見ると、CLIの時のみ、getenv('HTTP_PROXY
世界中で流行している位置情報ゲーム「Pokemon GO」だが、そのバックエンドはGoogle Cloud Platform上で運営されているという話が出てる (DatacenterDynamics)。 Pokemon GOは各国でサービス開始後たびたびサーバーダウンを起こしているが、GCP上で動いているのであれば理論上スケールはしやすいはずであるし、GCP側でトラブルが発生しているという話もない。そのため発生しているトラブルはインフラストラクチャ側ではなく、ソフトウェア側に問題があるのではないかとの推測も出ている。 Pokemon GOは日本ではまだサービスが開始されていないが、ロイターの記事によると近いうちにサービス提供地域を拡大する予定で、現在サーバーの増強が行われているという。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く