セッションインジェクション
日付
2013年8月6日
説明
Playのセッションエンコーディングに脆弱性が見つかりました。
攻撃者はPlayセッションにヌルバイトを含む特別に細工された値を配置するようにPlayをだますことで、任意のデータをセッションにインジェクションする可能性があります。
影響
ユーザー入力データをPlayのステートレスセッションメカニズムに配置するアプリケーションは、すべて脆弱である可能性があります。
一般的に、この問題は、認証目的でユーザー名をセッションに格納するアプリケーションに影響し、攻撃者が別のユーザーとして識別できるようになります。
影響を受けるバージョン
- Play 2.1.0 - 2.1.2
- Play 2.0 - 2.0.5
- Play 1.2 - 1.2.5
- Play 1.1 - 1.1.2
- Play 1.0 - 1.0.3.3
回避策
セッションに配置される値にヌルバイトが含まれていないことを検証します。
修正
以下、適切なバージョンにアップグレードしてください。
CVSSMetrics(詳細)
- 基準:6.4
AV:N/AC:L/Au:N/C:P/I:P/A:N - 時間:5.6
E:H/RL:OF/RC:C - 環境:6.8
CDP:ND/TD:H/CR:H/IR:H/AR:ND
環境スコアは、一般的なインターネットシステムを想定しています。組織の実際の環境スコアは異なる場合があります。
謝辞
この脆弱性の発見は、ナショナルオーストラリア銀行セキュリティ保証チームによるものです。