概要
HTTP プロキシは、gopher:// リクエストを受け入れます。
説明
Gopher は、HTTP より前から存在する古いネットワークプロトコルであり、今日ではほとんど使われていません。その結果、Gopher 互換性のソフトウェアは、一般的に監査されることが少なく、他よりもセキュリティバグが含まれている可能性が高くなっています。
Gopher リクエストをすることにより、攻撃者は、ポート 70 に接続してファイアウォールの設定を回避するか、このプロトコルで難解な欠陥を悪用して、このホストでより多くの権限を取得することすらあります(そのような例については、添付の CVE id を参照)。
ソリューション
Gopher リクエストを拒否するように、プロキシを再構成してください。
プラグインの詳細
サポートされているセンサー: Nessus
脆弱性情報
必要な KB アイテム: Proxy/usage