【速報】 Spring Framework のインライン DTD の処理におけるサービス運用妨害 (DoS) の脆弱性 JVNDB-2015-007214 CVE-2015-3192
Spring Framework に、サービス運用妨害 (DoS) の脆弱性が発見されたので、速報ベースで周知します。
管理コード
JVNDB-2015-007214
CVE-2015-3192
影響を受けるシステム
Fedora Project •Fedora 22
•Fedora 21
Pivotal Software, Inc.
•Spring フレームワーク 3.2.14 未満
•Spring フレームワーク 4.1.7 未満の 4.x
脆弱性の内容
XML爆弾入力により、XMLのパース処理にてメモリ消費およびメモリ領域外エラーとなり、サービス運用妨害 (DoS) を引き起こします。
対策方法
製品のアップデートを行う。
脆弱性を修正したアップデートがすでに提供されています。
Spring フレームワーク 3.2.x の場合 3.2.14 以降にアップデート
Spring フレームワーク 4.0.x、4.1.x の場合 4.1.7 以降にアップデート
<ダウンロード先(アーカイブ)>
Index of release/org/springframework/spring
<参考(日本語)>
JVNDB-2015-007214 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2015-007214:Pivotal Spring フレームワークにおけるサービス運用妨害 (DoS) の脆弱性
<参考(英語)>
CVE-2015-3192 - DoS Attack with XML Input | Security | Pivotal
[SPR-13136] XML input vulnerability based on DTD declaration - Spring JIRA