【セキュリティ事案】「HTTP_PROXY」に関連する脆弱性---PHP/GO/Apache HTTP Server/Apache Tomcat/HHVM/Python/他に影響

【セキュリティ事案】「HTTP_PROXY」に関連する脆弱性---PHP/GO/Apache HTTP Server/Apache Tomcat/HHVM/Python/他に影響

OSS×クラウド最新TOPICS 2016年7月21日 10:03

【セキュリティ事案】「HTTP_PROXY」に関連する脆弱性---PHP/GO/Apache HTTP Server/Apache Tomcat/HHVM/Python/他に影響

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、7月19日、
CGIなどを利用するWebサーバの脆弱性について注意喚起を行った。

【影響範囲】
環境変数「HTTP_PROXY」を参照してHTTPアウトバウンド通信を行うすべてのWebサーバ/Webアプリケーションが影響を受ける可能性がある。

【影響を受けるソフトウェア】
・PHP(CVE-2016-5385)
・GO(CVE-2016-5386)
・Apache HTTP Server(CVE-2016-5387)
・Apache Tomcat(CVE-2016-5388)
・HHVM(CVE-2016-1000109)
・Python(CVE-2016-1000110)
これら以外でもCGIなどを利用するソフトウェアは影響を受ける可能性がある。

(出所:http://internet.watch.impress.co.jp/docs/news/1010939.html

OSSNEWSに広告を掲載しませんか?

関連オープンソース

Snort(スノート)

  • セキュリティソフト

Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)

  • シングルサインオン

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)とは、シングルサインオンソリューションです。アプリケーション/API/クラウド/モバイル間で統合ID管理を行います。

LibreSSL(リブレ エスエスエル)

  • ネットワーク系ツール

LibreSSL(リブレ エスエスエル)とは、SSL/TLSプロトコルのオープンソース実装(通信用ソフトウェア)で、「OpenSSL」の派生改良版です。圧倒的シェアを持つが問題が多い「OpenSSL」を代替できるものとして期待されています。

Vuls(バルス)

  • セキュリティソフト

Vuls(バルス)とは、脆弱性スキャンツールです。Linux(FreeBSD)系OS/各種ミドルウェア/各種フレームワークなどに対する脆弱性存在を検査し、詳細情報をレポーティングします。

OpenSSH(オープンエスエスエイチ)

  • ネットワーク系ツール

OpenSSH(オープンエスエスエイチ)。ネットワーク経由通信を暗号化する「SSH」のオープンソース実装です。おもにUNIX/Linuxサーバに対するネットワーク経由でのリモートログインに使用します。

FreeRADIUS(フリーラディウス)

  • 認証サーバ

FreeRADIUS(フリーラディウス)。オープンソースの高機能RADIUSサーバです。認証用プロトコル「RADIUS」機能を実現するデファクトスタンダードとして広く使われています。

OpenSSL(オープンエスエスエル)

  • ネットワーク系ツール

OpenSSL(オープンエスエスエル)。オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。

Apache DS(アパッチディーエス)

  • 認証サーバ

Apache DS(アパッチディーエス)。オープンソースのLDAP(ディレクトリ)サーバです。「Apache Directory」プロジェクトで開発されています。

389 Directory Server(389ディレクトリサーバ)

  • 認証サーバ

389 Directory Server(389ディレクトリサーバ)。オープンソースディレクトリサーバです。「Fedora Directory Server」の後継で、商用製品の流れを受けており、ユーザフレンドリーなGUIツールの充実などが特徴です。

OpenIDM(オープンアイディーエム)

  • ID管理

OpenIDM(オープンアイディーエム)。高い柔軟性と拡張性を備え、エンタープライズ/クラウド/モバイル/ソーシャル/レガシーなど多様な環境において、ユーザアカウントのプロビジョニングとライフサイクルの一元管理を実現するID管理製品です。

LISM(リズム)

  • ID管理

LISM(リズム)。シンプルな使いやすさが特徴のID統合管理ソリューションです。

OpenAM(オープンエーエム)

  • シングルサインオン

OpenAM(オープンエーエム)。「OpenSSO」の後継製品として、認証、アクセス認可、フェデレーションなどの機能を備えた、Webアプリケーションやクラウドサービスに対してのシングルサインオンを実現するオープンソース高機能認証ソリューションです。

OpenLDAP(オープンエルダップ)

  • 認証サーバ

OpenLDAP(オープンエルダップ)。最も多くの導入実績があり、ディレクトリサービスを提供するオープンソースLDAPサーバです。

OpenDJ(オープンディージェー)

  • 認証サーバ

OpenDJ(オープンディージェー)。OpenAMに内蔵されており、先進的なレプリケーションアーキテクチャや「REST API」を搭載したLDAP準拠の高機能オープンソースディレクトリサーバです。

  • オープソース書籍(サイド)

OSS×Cloud ACCESS RANKING

  • OSSNEWSに広告を掲載しませんか?

facebook

twitter

facebook

twitter