JVNDB-2014-007683

libcurl における CRLF インジェクションの脆弱性

libcurl には、HTTP プロキシを使用する場合、CRLF インジェクションの脆弱性が存在します。

補足情報 : CWE による脆弱性タイプは、CWE-93: Improper Neutralization of CRLF Sequences (CRLF インジェクション) と識別されています。
http://cwe.mitre.org/data/definitions/93.html

Haxx

• libcurl 6.0 から 7.40.0 未満の 7.x

アップル

• Apple Mac OS X 10.10 から 10.10.4

オラクル

• MySQL Enterprise Monitor 2.3.20 およびそれ以前
• MySQL Enterprise Monitor 3.0.22 およびそれ以前
• Oracle Solaris 11.2

第三者により、URL の CRLF シーケンスを介して、任意の HTTP ヘッダを挿入され、HTTP レスポンス分割攻撃を実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Haxx

• Security Advisory : URL request injection

アップル

• Apple Mailing Lists : APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006
• Apple Security Updates : HT205031
• Apple セキュリティアップデート : HT205031

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices
• Oracle Technology Network : Oracle Third Party Bulletin - January 2015
• SECURITY BLOG : October 2015 Critical Patch Update Released

1. その他(CWE-Other) [NVD評価]

1. CVE-2014-8150

1. National Vulnerability Database (NVD) : CVE-2014-8150
2. 関連文書 : MGASA-2015-0020

• [2015年01月19日]
    掲載
  [2015年03月02日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Third Party Bulletin - January 2015) を追加
  [2015年06月08日]
    参考情報：関連文書 (MGASA-2015-0020) を追加
  [2015年08月31日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (HT205031) を追加
    ベンダ情報：アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
  [2015年11月06日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加