Spring Framework に、サービス運用妨害 (DoS) の脆弱性が発見されたので、速報ベースで周知します。

管理コード

JVNDB-2015-007214

CVE-2015-3192

影響を受けるシステム

　　　　Fedora Project •Fedora 22

　　　　　•Fedora 21

　　　　Pivotal Software, Inc.

　　　　　•Spring フレームワーク 3.2.14 未満

　　　　　•Spring フレームワーク 4.1.7 未満の 4.x

脆弱性の内容 

XML爆弾入力により、XMLのパース処理にてメモリ消費およびメモリ領域外エラーとなり、サービス運用妨害 (DoS) を引き起こします。

対策方法

製品のアップデートを行う。

脆弱性を修正したアップデートがすでに提供されています。

　　Spring フレームワーク 3.2.x の場合　3.2.14 以降にアップデート

　　Spring フレームワーク 4.0.x、4.1.x の場合　4.1.7 以降にアップデート

＜ダウンロード先(アーカイブ)＞

Index of release/org/springframework/spring

＜参考(日本語)＞

JVNDB-2015-007214 - JVN iPedia - 脆弱性対策情報データベース

JVNDB-2015-007214:Pivotal Spring フレームワークにおけるサービス運用妨害 (DoS) の脆弱性

sid.softek.jp

＜参考(英語)＞

CVE-2015-3192 - DoS Attack with XML Input | Security | Pivotal

[SPR-13136] XML input vulnerability based on DTD declaration - Spring JIRA