rey’s developer blog

ユーザ系SIerに勤めるSEがプログラミング、データベース、OS、SNS、ガジェットなどを中心に備忘録変わりに書いていきます。

【速報】 Spring Framework のインライン DTD の処理におけるサービス運用妨害 (DoS) の脆弱性 JVNDB-2015-007214 CVE-2015-3192

Spring Framework に、サービス運用妨害 (DoS) の脆弱性が発見されたので、速報ベースで周知します。

 

管理コード

JVNDB-2015-007214

CVE-2015-3192

 

 

影響を受けるシステム

    Fedora ProjectFedora 22

     •Fedora 21

    Pivotal Software, Inc.

     •Spring フレームワーク 3.2.14 未満

     •Spring フレームワーク 4.1.7 未満の 4.x

 

脆弱性の内容 

XML爆弾入力により、XMLのパース処理にてメモリ消費およびメモリ領域外エラーとなり、サービス運用妨害 (DoS) を引き起こします。

 

対策方法

製品のアップデートを行う。

脆弱性を修正したアップデートがすでに提供されています。

  Spring フレームワーク 3.2.x の場合 3.2.14 以降にアップデート

  Spring フレームワーク 4.0.x、4.1.x の場合 4.1.7 以降にアップデート

 

<ダウンロード先(アーカイブ)>

Index of release/org/springframework/spring

 

<参考(日本語)>

JVNDB-2015-007214 - JVN iPedia - 脆弱性対策情報データベース

JVNDB-2015-007214:Pivotal Spring フレームワークにおけるサービス運用妨害 (DoS) の脆弱性

sid.softek.jp

 

<参考(英語)>

CVE-2015-3192 - DoS Attack with XML Input | Security | Pivotal

[SPR-13136] XML input vulnerability based on DTD declaration - Spring JIRA