Japan
サイト内の現在位置を表示しています。
Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性
掲載番号:NV18-007
脆弱性情報識別番号:JVNVU#99757346
概要
Android Platform の URLConnection クラスには、HTTP ヘッダインジェクションの脆弱性が存在します。
対象製品
SystemDirector Enterprise
影響の有無
影響あり
Android 版ネイティブサンプルにおいて、HTTPヘッダを設定・追加する際に外部から受け取った信頼できない値を検証せず使用すると HTTP ヘッダインジェクションが行われる可能性があります。
対象となる製品のバージョン
- 製品名:SystemDirector Enterprise for Smart Device
- モジュール名:SystemDirector Enterprise for Smart Device Framework (Android 版ネイティブサンプル)
- バージョン:9.2 以降
対処方法
[回避策]
・ご利用の SystemDirector Enterprise がサポートする範囲内で、本脆弱性の影響を受けない
(Android 6.0.1以降の) 端末をご利用ください。
・影響を受ける端末を使用せざるを得ない場合、次のメソッドの実装を確認し、検証された値を
header 引数に設定していることを確認してください。
・ご利用の SystemDirector Enterprise がサポートする範囲内で、本脆弱性の影響を受けない
(Android 6.0.1以降の) 端末をご利用ください。
・影響を受ける端末を使用せざるを得ない場合、次のメソッドの実装を確認し、検証された値を
header 引数に設定していることを確認してください。
SdeCommSettingPub.java
public void setHttpUriRequestHeader(HashMap<String,String> header)
public void setHttpUriRequestHeader(HashMap<String,String> header)
具体的には、HTTPヘッダにおいて特別な意味を持つ文字コード(例えば改行コード)
を設定していないか、検証を行ってください。
を設定していないか、検証を行ってください。
参考情報
Japan Vulnerability Notes JVNVU#99757346:
Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/vu/JVNVU99757346/
CVE-2016-1155:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1155
更新情報
- 2018/03/28