サポート » その他 » セキュリティ|CGI等を利用するWebサーバーの脆弱性(CVE-2016-5385等)への対

  • 解決済 susosu

    (@susosu)


    WordPressで「リクエストヘッダ Proxy」 を利用しているか、知りたいと思っています。

    ご存知の方がいましたら、教えて頂けると助かります。
    理由は以下となります。

    一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が、CGIなどを 利用するWebサーバーの脆弱性(CVE-2016-5385等)(httpoxy)に関する注意喚起を発表しています。
    対応には、以下URLの対応が必要となります。

    対応すると「リクエストヘッダ Proxy」が使えなくなるため、
    Wordpressで「リクエストヘッダ Proxy」を利用しているか、知りたいと思っております。
    http://jvn.jp/vu/JVNVU91485132/

    よろしくお願いいたします。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • または、
    Wordpress導入サーバへ以下URLで紹介している対応をして
    問題のなかった方がいましたら、教えて頂けると助かります。
    http://jvn.jp/vu/JVNVU91485132/

    centOSの場合は、上記の対応ではなくパッチ対応が可能なようです。
    対応バージョン: httpd-2.2.15-54.el6.centos.x86_64
    こちらのバージョンにして問題の無い方がいましたら、教えて頂けると助かります。

    何卒、よろしくお願いいたします。

    WordPressではWP_HTTP_Proxyというクラスがありますが、これはWordPressがHTTPリクエストを送出する際にPROXYを利用可能にする機能のように見受けられます。
    https://wpdocs.osdn.jp/HTTP_API
    最新英語版

    また、このPROXYを使うためにはwp-config.phpに定数を追加する必要があるため、通常は使われていないものと思います。

    また、WordPressのリソースに’HTTP_PROXY’あるいは”HTTP_PROXY”という記述もないため、HTTP_PROXYヘッダを利用していないものと思いますが、これは私見です。

    しかし、プラグインについては全く不明です。
    本家ではプラグイン作成者向けに注意が発信されているようです。
    https://make.wordpress.org/plugins/2016/07/20/security-alert-httpoxy/

    私の環境では
    RequestHeader unset Proxy
    を設定しましたが、WordPress本体の、投稿やブログの参照といった基本的な機能は正常に動作しています。
    しかし、この環境ではテーマはデフォルトのテーマですし、プラグインもWP Multibyte Patchしか動いていないので、あまり参考にならないかもしれません。

    OS : Linux v133-130-70-104.myvps.jp 3.10.0-327.22.2.el7.x86_64
    Apache : 2.4.6-40.el7.centos.1
    PHP : 5.6.23

    はい。WordPressにWP_HTTP_Proxyというクラスがあることもあり、
    本体で利用しているか気になっておりました。

    RequestHeader unset Proxy
    を設定されて動いているのであれば、本体は問題なさそうですね。
    ありがとうございます。

    プラグインについては、
    もし動かないものがあれば個別に確認する必要がありますが、
    本体が大丈夫そうということであれば対応していけそうです。

    教えていただき、誠にありがとうございました。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • トピック「セキュリティ|CGI等を利用するWebサーバーの脆弱性(CVE-2016-5385等)への対」には新たに返信することはできません。