2016年7月19日に「CGI等を利用するWebサーバの脆弱性(CVE-2016-5385 等) に関する注意喚起」が出されています。
これはCGIが他のサーバと通信をしてデータを取得する際にHTTP_PROXY環境変数を参照した上でPROXYサーバ経由での接続をするような実装をしている場合に影響があるもので、この環境変数値を外から恣意的に設定変更できるという問題です。Apacheを使ったWebサーバを含め比較的広範なWebサーバに影響があるようです。
SWANStorシステムについては、環境変数を設定したりそれを参照して外部通信を行うといった実装はありませんので、本件に関する脆弱性はまったくありません。
(以下の記事はApacheとPHPについて弊社で調べた内容を記載したものですが、脆弱性対策等について万全を約束したものではありません。記事の内容についてはみなさまの責任においてご参考にされてください。)
SWANStorシステムとは関係ありませんが、PHPを動作させているサイトについてこの脆弱性の影響があるかどうかは次のようにして確認することができます。
1)Linuxが動作するシステムを用意し、curlコマンドが動作するようにします。
2)検証するPHPが動作しているサイトについて、phpinfo()でPHPの設定情報が取得できるようにします。例えばcheckvalunarability.phpというファイルを用意します。
3)curlコマンドで次の2つのコマンドを実行し、得られる応答を確認します。
① curl -H http:// 検証するホスト/checkvalunarability.php -s | egrep PROXY
② curl -H ‘Proxy: 127.0.0.1:8080’ http:// 検証するホスト/checkvalunarability.php -s | egrep PROXY
②のコマンドでは①には無かった次のような表示がされる場合、本件の脆弱性が存在します。
_SERVER[“HTTP_PROXY“]127.0.0.1:8080
本件にはApacheサーバの場合でmod_headersを使っている場合、例えばconf/httpd.confの最後の行に次の一行を追加してhttpdを再起動することで対処が可能です。
RequestHeader unset Proxy