JVNDB-2014-000082

FuelPHP において任意のコードが実行される脆弱性

FuelPHP は、ウェブアプリケーションを作成するためのフレームワークです。FuelPHP には、Request_Curl クラスの処理に問題があり、任意のコードが実行される脆弱性が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: グリー株式会社 千田　雅明 氏

下記のバージョンを使って作成された FuelPHP アプリケーションが本脆弱性の影響を受けます：

FuelPHP

• FuelPHP 1.1 から 1.7.1 まで

細工されたデータを処理することで、サーバ上で任意のファイルを削除されたり、任意のコードを実行されたりするなどの可能性があります。

[フレームワークを最新版に更新し、アプリケーションが Request_Curl クラスを使用している場合は対応する]
開発者が提供する情報をもとにフレームワークを最新版に更新してください。
更新後、アプリケーション内で Request_Curl クラスを使用しているか確認し、当該クラスを使用している場合は、下記について確認してください。

- cURL 呼び出しに対するレスポンスが信用できる場合
autofomatting を有効にすることが可能です。

- cURL 呼び出しに対するレスポンスが信用できない場合
リクエストを実行した直後にレスポンスを確認するコードを追加する必要があります。
確認後、auto formatting を有効にし、set_response() を呼び出し、レスポンスを正しい形式にしてください。

開発者は、auto formatting における注意事項を記載したドキュメンテーションを提供しています。

FuelPHP

• FuelPHP : Security Advisories - SEC-CORE-004: auto-format of Curl responses may lead to code execution
• FuelPHP : Request_Curl - Classes - FuelPHP Documentation

1. その他(CWE-Other) [IPA評価]

1. CVE-2014-1999

1. JVN : JVN#94791545
2. National Vulnerability Database (NVD) : CVE-2014-1999

• [2014年07月18日]
    掲載
  [2014年07月23日]
    参考情報：National Vulnerability Database (NVD) (CVE-2014-1999) を追加