XML 外部エンティティ
CVE-ID
CVE-2014-3630
日付
2014 年 10 月 7 日
2014 年 11 月 19 日アップデート: 修復が適用された Play 2.2.6 がリリースされました。
説明
Play の Java XML 処理に脆弱性が発見されました。
攻撃者は XML 外部エンティティを使用して、ファイルシステムや社内ネットワークからファイルを読み取ったり、アプリケーションを DoS 攻撃したりできます。
影響
信頼できないソースから XML を解析するために Java の play.libs.XML API を直接使用しているアプリケーションや、信頼できないサーバーから XML レスポンスを解析するために Play の WS クライアント API を使用しているアプリケーションです。
具体的には、この脆弱性は XML ボディを含む要求を受け取る Java アクションには影響しません。また、Play で提供されている Scala XML 処理 API にも影響しません。
影響を受けるバージョン
- Play 2.0 - 2.3.4
回避策
XML の解析に play.libs.XML API を使用せず、OWASP が こちら で説明しているように設定された DocumentBuilderFactory を使用します。
play.libs.ws.WSResponse.asXml メソッドを使用せず、getBody メソッドを使用して、確実に設定された DocumentBuilderFactory を使用して解析します。
修正
Play 2.3.5 または Play 2.2.6 にアップグレードします。
CVSS メトリクス (詳細情報)
- 基準: 4.0
AV:N/AC:H/Au:N/C:P/I:N/A:P - 時間: 3.1
E:POC/RL:OF/RC:C - 環境: 1.0
CDP:ND/TD:L/CR:H/IR:H/AR:ND
環境スコアは、一般的なインターネットシステムを想定しています。組織の実際の環境スコアは異なる場合があります。
謝辞
この脆弱性の発見の功績は、Red Hat Product Security の David Jorm 氏にあります。