Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性

掲載番号:NV18-007
脆弱性情報識別番号:JVNVU#99757346

概要

Android Platform の URLConnection クラスには、HTTP ヘッダインジェクションの脆弱性が存在します。

対象製品

SystemDirector Enterprise

影響の有無

影響あり

Android 版ネイティブサンプルにおいて、HTTPヘッダを設定・追加する際に外部から受け取った信頼できない値を検証せず使用すると HTTP ヘッダインジェクションが行われる可能性があります。

対象となる製品のバージョン

製品名：SystemDirector Enterprise for Smart Device
モジュール名：SystemDirector Enterprise for Smart Device Framework (Android 版ネイティブサンプル)
バージョン：9.2 以降

対処方法

[回避策]
・ご利用の SystemDirector Enterprise がサポートする範囲内で、本脆弱性の影響を受けない
　(Android 6.0.1以降の) 端末をご利用ください。

・影響を受ける端末を使用せざるを得ない場合、次のメソッドの実装を確認し、検証された値を
　header 引数に設定していることを確認してください。

SdeCommSettingPub.java
public void setHttpUriRequestHeader(HashMap<String,String> header)

　具体的には、HTTPヘッダにおいて特別な意味を持つ文字コード(例えば改行コード)
　を設定していないか、検証を行ってください。