お知らせ詳細

←お知らせ一覧に戻る

【脆弱性対策情報】Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性
2016-02-22
    【脆弱性対策情報】Android Platform の URLConnection クラスに HTTP ヘッダインジェクションの脆弱性

    【概要】

    Android Platform の URLConnection クラスは、Android のバージョンにより実装が異なっており Android 4.4.2 からは、オープンソースの OkHttp から取り込んだソースコードを使用しています。
    OkHttp の 2.5.0 より前のバージョンには HTTP ヘッダインジェクションの脆弱性があります。
    Android Platform では OkHttp 2.5.0 より前のバージョンのソースコードを取り込んでいる URLConnection クラスに同じ脆弱性が存在しています。

    【CVSS による深刻度】

    基本値: 4.3 (警告) [IPA値]
    攻撃元区分: ネットワーク
    攻撃条件の複雑さ: 中
    攻撃前の認証要否: 不要
    機密性への影響(C): なし
    完全性への影響(I): 部分的
    可用性への影響(A): なし
      
    【影響を受けるシステム】

    Google
    Android 2.2 から 6.0 に含まれる URLConnection クラス
    Android 2.2 より前のバージョンに含まれる URLConnection クラスも影響を受ける可能性があります。

    【想定される影響】

    想定される影響はアプリケーションによって異なりますが、表示されるページが改ざんされたり任意のスクリプトが実行されたり Cookie に任意の値を設定されたりする可能性があります。
      
    【対策】

    [対策済みの OkHttp を使用する]
    OkHttp では本脆弱性はバージョン 2.5.0 で修正されています。最新の OkHttp を使いアプリケーションを再実装することで対策を行う事が可能です。
    Android Platform では、Android 6.0 をリリースした後に Github の master branch で OkHttp 2.5.0 の修正を取り込んでいます。

    [ワークアラウンド]
    Android Platform の URLConnection.setRequestProperty() や URLConnection.addRequestProperty() の引数として渡される文字列の中に、制御文字など不正な文字が含まれないように入力値検査を行ってください。
    詳細は RFC7230 3.2.4 Field Parsing を参照してください。
      
    【ベンダ情報】

    Google
    Google Git : Pull latest code from upstream okhttp and okio by Neil Fuller

    【引用元】

      Japan Vulnerability Notes
       http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001459.html

ページトップヘ