Http のみクッキーのバイパス
CVE ID
CVE-2015-2156
日付
09 May 2015
説明
脆弱性が Play のクッキー処理コードで発見され、攻撃者が機密クッキーで httpOnly フラグをバイパスできる可能性があります。
影響
クッキーの値をレスポンスの本体に反映する Play アプリはこの脆弱性に影響を受けます。このようなケースの一例は、Play の CSRF サポートを csrf.cookie.name が構成されている状態で使用することで、Play が csrf トークンをデフォルトのセッションへの保存ではなく、クッキーに保存する場合です。
影響を受けるバージョン
- Play 2.0 - 2.3.8
回避策
netty 3.9.8 にアップグレードします。たとえば
libraryDependencies += "io.netty" % "netty" % "3.9.8.Final"
修正
この問題は Play 2.3.9 で修正されました。
CVSS メトリクス (詳細情報)
- 基本: 4.0
AV:N/AC:H/Au:N/C:P/I:P/A:N - 時間的な: 3.1
E:POC/RL:OF/RC:C - 環境: 1.1
CDP:ND/TD:L/CR:H/IR:H/AR:ND
環境スコアは、通常のインターネットシステムを想定しています。組織の実際の環境スコアは異なる場合があります。
確認
この脆弱性の発見の功労者は、LinkedIn の Roman Shafigullin、Luca Carettoni、および Mukul Khullar です。