公開日:2016/08/05 最終更新日:2016/09/02

JVNVU#90289707
プロキシ自動設定ファイル (proxy.pac) から HTTPS URL に含まれる情報を取得できる問題

概要

プロキシ自動設定ファイル (proxy.pac) に渡される URL がプロキシ選択に必要とされるプロトコルスキームやホスト部分など以外の情報も含んでいる場合、URL に含まれるセンシティブな情報が漏えいする可能性があります。

影響を受けるシステム

  • プロキシ自動設定ファイル (proxy.pac) によるプロキシ選択機能を実装しているウェブブラウザ
  • WPAD (Web Proxy Auto-Discovery) に対応しているウェブブラウザ

詳細情報

プロキシ自動設定 (Proxy Auto-Config, PAC) ファイル (proxy.pac) は JavaScript で書かれた関数 FindProxyForURL() を提供します。
ウェブブラウザ等のクライアントは、リクエストとして受け取った URL をこの関数に渡し、その処理結果をもとに使用するプロキシサーバを決定します。
WPAD (Web Proxy Auto-Discovery) に対応しているウェブブラウザの場合、WPAD プロトコルを使って自動的に proxy.pac を取得することが可能です。

信頼境界を越える際に、センシティブなデータを適切に削除しない問題 (CWE-212) - CVE-2016-5134, CVE-2016-1801
ウェブブラウザ等のクライアントが、受け取ったリクエストの URL を、プロキシ選択で必要とされるホスト部分など以外も含む形のまま FindProxyForURL() に渡している場合、FindProxyForURL() の処理で、URL に含まれるパス部分やパラメータ部分などの情報にアクセス可能です。

中間者攻撃が可能な環境において、細工された proxy.pac ファイルを使用している場合、細工された FindProxyForURL() によって、引数として渡された HTTPS URL に含まれる情報が漏えいする可能性があります。

想定される影響

細工された proxy.pac ファイルを使用することで、センシティブな情報が漏えいする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
本脆弱性の影響を軽減するため、次の回避策を適用してください。

  • WPAD を使用しない

ベンダ情報

ベンダ リンク
Apple About the security content of iOS 9.3.2
google Chrome Releases: Stable Channel Update (Wednesday, July 20, 2016)

参考情報

  1. CERT/CC Vulnerability Note VU#877625
    Proxy auto-config (PAC) files have access to full HTTPS URLs
  2. Context Information Security
    Sniffing HTTPS URLS with malicious PAC files

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
基本値: 3.1
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:A/AC:M/Au:N/C:P/I:N/A:N
基本値: 2.9
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-5134
CVE-2016-1801
JVN iPedia

更新履歴

2016/09/02
タイトルを含め文面を改訂し、参考情報を追加しました。