NVD脆弱性詳細

CVE-2016-1000109

概要	HHVM does not attempt to address RFC 3875 section 4.1.18 namespace conflicts and therefore does not protect CGI applications from the presence of untrusted client data in the HTTP_PROXY environment variable, which might allow remote attackers to redirect a CGI application's outbound HTTP traffic to an arbitrary proxy server via a crafted Proxy header in an HTTP request, aka an "httpoxy" issue. This issue affects HHVM versions prior to 3.9.6, all versions between 3.10.0 and 3.12.4 (inclusive), and all versions between 3.13.0 and 3.14.2 (inclusive).
公表日	2020年2月19日22:15
登録日	2021年1月26日14:04
最終更新日	2024年11月21日11:42

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	https://github.com/facebook/hhvm/commit/423b4b719afd5ef4e6e19d8447fbf7b6bc0d0a25	Patch Third Party Advisory
2	https://github.com/facebook/hhvm/commit/423b4b719afd5ef4e6e19d8447fbf7b6bc0d0a25	Patch Third Party Advisory
3	https://httpoxy.org/	Exploit Mitigation Third Party Advisory
4	https://httpoxy.org/	Exploit Mitigation Third Party Advisory
5	https://www.facebook.com/security/advisories/cve-2016-1000109	Third Party Advisory
6	https://www.facebook.com/security/advisories/cve-2016-1000109	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-665	不適切な初期化	https://cwe.mitre.org/data/definitions/665.html

JVN脆弱性情報

HHVM における初期化に関する脆弱性

タイトル	HHVM における初期化に関する脆弱性
概要	HHVM には、初期化に関する脆弱性が存在します。
想定される影響	情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年7月19日0:00
登録日	2020年3月17日15:59
最終更新日	2020年3月17日15:59

影響を受けるシステム

Facebook

HipHop Virtual Machine (HHVM) 3.10.0 から 3.12.4

HipHop Virtual Machine (HHVM) 3.13.0 から 3.14.2

HipHop Virtual Machine (HHVM) 3.9.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-1000109	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000109
Facebook
2	CVE-2016-1000109	https://www.facebook.com/security/advisories/cve-2016-1000109
GitHub
3	CVE-2016-1000109: Ignore Proxy HTTP header from fastcgi requests	https://github.com/facebook/hhvm/commit/423b4b719afd5ef4e6e19d8447fbf7b6bc0d0a25
National Vulnerability Database (NVD)
4	CVE-2016-1000109	https://nvd.nist.gov/vuln/detail/CVE-2016-1000109

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-665	https://cwe.mitre.org/data/definitions/665.html

変更履歴

No	変更内容	変更日
1	[2020年03月17日] 掲載	2020年3月17日15:59