最新消息

(ANA事件單通知:TACERT-ANA-2016080102083636)(【漏洞預警】Apache 2.4.23(含)前的版本存在漏洞(CVE-2016-5387)，允許攻擊者遠端執行中間人攻擊，請儘速確認並進行修正)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016080102083636 發佈時間 2016-08-01 14:06:34
事故類型 ANA-漏洞預警 發現時間 2016-07-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】Apache 2.4.23(含)前的版本存在漏洞(CVE-2016-5387)，允許攻擊者遠端執行中間人攻擊，請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201608-0008

Apache伺服器是Apache軟體基金會旗下的一款Web伺服器，2.4.23(含)前的版本所內建之httpd/mod_fcgid等模組，其HTTP_PROXY環境變數未能有效過濾客戶端請求，造成HTTP_PROXY的變數內容，可被攻擊者發送的變數內容給覆蓋掉，造成攻擊者可利用此漏洞遠端執行中間人攻擊，以及將目標的HTTP流量重新導向至任意的伺服器。
請檢視是否安裝受影響之Apache伺服器，並儘速參考官方網頁所提供的臨時性解決方案進行修正。

[影響平台:]
Apache伺服器2.4.23(含)前的版本
[建議措施:]
請於已安裝Apache伺服器之電腦，使用「httpd -v」指令確認目前所使用之Apache版本，如所使用之Apache伺服器為2.4.23(含)前的版本，請儘速依官方網頁(https://www.apache.org/security/asf-httpoxy-response.txt)所發布之臨時性解決方案進行修正，而現階段因官方尚未正式釋出修正後的版本，所以仍請密切注意Apache官方網頁(http://httpd.apache.org/)的更新訊息。

[參考資料:]
1. https://httpoxy.org/
2. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5387
3. https://github.com/apache/httpd/commit/1c660f4f15083b06ce15018d304225c42...

(此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。
教育機構資安通報應變小組
網址：https://info.cert.tanet.edu.tw/
專線電話：07-5250211
網路電話：98400000
E-Mail：service@cert.tanet.edu.tw