Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性

掲載番号:NV18-007
脆弱性情報識別番号:JVNVU#99757346

概要

Android Platform の URLConnection クラスには、HTTP ヘッダインジェクションの脆弱性が存在します。

対象製品

SystemDirector Enterprise

影響の有無

影響あり

Android 版ネイティブサンプルにおいて、HTTPヘッダを設定・追加する際に外部から受け取った信頼できない値を検証せず使用すると HTTP ヘッダインジェクションが行われる可能性があります。

対象となる製品のバージョン

  • 製品名:SystemDirector Enterprise for Smart Device
  • モジュール名:SystemDirector Enterprise for Smart Device Framework (Android 版ネイティブサンプル)
  • バージョン:9.2 以降

対処方法

[回避策]
・ご利用の SystemDirector Enterprise がサポートする範囲内で、本脆弱性の影響を受けない
 (Android 6.0.1以降の) 端末をご利用ください。

・影響を受ける端末を使用せざるを得ない場合、次のメソッドの実装を確認し、検証された値を
 header 引数に設定していることを確認してください。

    SdeCommSettingPub.java
      public void setHttpUriRequestHeader(HashMap<String,String> header)

 具体的には、HTTPヘッダにおいて特別な意味を持つ文字コード(例えば改行コード)
 を設定していないか、検証を行ってください。

参考情報

Japan Vulnerability Notes JVNVU#99757346:
Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/vu/JVNVU99757346/


CVE-2016-1155:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1155

 

更新情報

2018/03/28
SystemDirector Enterprise を登録しました。