| Title | Go の net/http パッケージにおける任意のプロキシサーバに CGI アプリケーションのアウトバウンド HTTP トラフィックをリダイレクトされる脆弱性 |
|---|---|
| Summary | Go の net/http パッケージは、RFC 3875 セクション 4.1.18 の名前空間のコンフリクト対処を試みず、その結果、 HTTP_PROXY 環境変数の信頼できないクライアントデータの存在から CGI アプリケーションを保護しないため、任意のプロキシサーバに CGI アプリケーションのアウトバウンド HTTP トラフィックをリダイレクトされる脆弱性が存在します。 本脆弱性は、"httpoxy" の問題と呼ばれています。 なお、National Vulnerability Database (NVD) では、CWE-284、JVNVU#91485132 では、CWE-807 および CWE-454 として公開されています。 CWE-284: Improper Access Control http://cwe.mitre.org/data/definitions/284.html CWE-807: Reliance on Untrusted Inputs in a Security Decision http://cwe.mitre.org/data/definitions/807.html CWE-454: External Initialization of Trusted Variables or Data Stores http://cwe.mitre.org/data/definitions/454.html |
| Possible impacts | 第三者により、HTTP リクエストの巧妙に細工された Proxy ヘッダを介して、任意のプロキシサーバに CGI アプリケーションのアウトバウンド HTTP トラフィックをリダイレクトされる可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | July 18, 2016, midnight |
| Registration Date | July 25, 2016, 2:23 p.m. |
| Last Update | Nov. 9, 2016, 4:35 p.m. |
| CVSS3.0 : 重要 | |
| Score | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| Score | 5.1 |
|---|---|
| Vector | AV:N/AC:H/Au:N/C:P/I:P/A:P |
| レッドハット |
| Red Hat Enterprise Linux Server |
| Red Hat Enterprise Linux Server AUS |
| Red Hat Enterprise Linux Server EUS |
| 日本電気 |
| WebOTX Enterprise Edition V4.1 から V6.5 |
| WebOTX Standard Edition V4.1 から V6.5 |
| WebOTX Standard-J Edition V4.1 から V6.5 |
| WebOTX Web Edition V4.1 から V6.5 |
| WebOTX 開発環境 V6.1 から V6.5 |
| WebOTX Application Server Enterprise V8.2 から V9.4 |
| WebOTX Application Server Express V8.2 から V9.4 |
| WebOTX Application Server Foundation V8.2 から V8.5 |
| WebOTX Application Server Standard V8.2 から V9.4 |
| WebOTX Application Server Standard-J Edition V7.1 から V8.1 |
| WebOTX Application Server Web Edition V7.1 から V8.1 |
| WebOTX Developer (with Developer's Studio) V8.2 から V9.4 |
| WebOTX Developer V7.1 から V8.1 |
| WebOTX Enterprise Service Bus V6.4 から V9.3 |
| WebOTX Portal V8.2 から V9.3 |
| WebOTX SIP Application Server Standard Edition V7.1 から V8.1 |
| Fedora Project |
| Fedora |
| The Go Project |
| Go 1.6 まで |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2016年07月25日] 掲載 [2016年09月06日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:レッドハット (RHSA-2016:1538) を追加 ベンダ情報:Fedora Project (FEDORA-2016-ea5e284d34) を追加 ベンダ情報:Fedora Project (FEDORA-2016-340e361b90) を追加 [2016年11月09日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV16-020) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The net/http package in Go through 1.6 does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. |
|---|---|
| Publication Date | July 19, 2016, 11 a.m. |
| Registration Date | Jan. 26, 2021, 2:13 p.m. |
| Last Update | Nov. 21, 2024, 11:54 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:fedoraproject:fedora:24:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:23:*:*:*:*:*:*:* | |||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:oracle:linux:7:*:*:*:*:*:*:* | |||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.2:*:*:*:*:*:*:* | |||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.0 | 1.6.3 | |||
| cpe:2.3:a:golang:go:1.7:rc1:*:*:*:*:*:* | |||||