Debian DSA-2842-1：libspring-java - サービス拒否

medium Nessus プラグイン ID 71933

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Alvaro Munoz 氏は、Spring Framework で XML 外部エンティティ（XXE）インジェクションが発生することを発見しました。これは、他のサイトで CSRF および DoS 攻撃を実行するのに利用される可能性があります。

JAXB unmarshaller を使用する際に、Spring OXM ラッパーは、エンティティ解決を無効にするプロパティを漏洩しませんでした。unmarshaller に受け渡される可能性のあるソースの実装は 4 つあります。

- DOMSource
- StAXSource

- SAXSource

- StreamSource

DOMSource の場合、XML はユーザーコードで既に解析されており、このコードは XXE に対して保護を行う責任があります。

StAXSource の場合、XMLStreamReader はユーザーコードで既に作成されており、このコードは XXE に対して保護を行う責任があります。

SAXSource および StreamSource のインスタンスの場合、Spring はデフォルトで外部エンティティを処理し、これによりこの脆弱性を引き起こしていました。

外部エンティティの処理をデフォルトで無効にし、XML を信頼できるソースから処理する際にこの機能を使用する必要のあるユーザーに対してこの機能を有効にするオプションを追加することにより、この問題は解決されました。

また、Spring MVC がユーザー指定の XML を JAXB で処理していることが特定されました。これは、外部エンティティ解決を無効にせずに StAX XMLInputFactory と組み合わせて行われます。この場合、外部エンティティ解決が無効にされました。