CVSS v2 による深刻度 基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃前の認証要否: 不要 機密性への影響(C): なし 完全性への影響(I): 部分的 可用性への影響(A): なし IBM IBM WebSphere Application Server 6.0 から 6.0.2.33 IBM WebSphere Application Server 6.1 から 6.1.0.23 IBM WebSphere Application Server 7.0 から 7.0.0.1 OpenOffice.org Project OpenOffice.org 3.2 未満 OpenOffice.org 2 アップル Apple Mac OS X v10.5.8 Apple Mac OS X Server v10.5.8 オラクル BEA 

XML 署名 (XMLDsig) で規定されている HMAC truncation に起因する認証回避が可能な問題が存在します。 XMLDsig は、デジタル署名のための XML 構文を規定する W3C 勧告の一つです。XMLDsig は SOAP などのウェブサービスで使用されています。XMLDsig は RFC 2104 で規定されている HMAC truncation をサポートしています。RFC2104 ではハッシュ値の半分あるいは 80 bit 以上使用することを推奨しています。しかしながら、XMLDsig ではハッシュ値の出力長に対する制限が設けられていません。HMAC truncation が攻撃者によって操作された場合、結果として認証回避が起きる可能性があります。

公開: 2009年6月24日15時20分頃 「XMLをparseするアプリのセキュリティ (d.hatena.ne.jp)」。 以前に書いたXML entity explosion attackの話の最後の方でもちらりと触れましたが、外部からXMLを受け取るとき、パーサが外部実体を解釈するとまずいことになる場合があります。 サーバから外部の任意のURLにGETアクセスしてしまうため、踏み台として使われる危険性がある受け取ったXMLの内容を何らかの形で表示している場合、本来外部から見えないはずのリソースの内容が見えてしまう場合があるということですね。特に後者の場合、ディレクトリ・トラバーサルよろしく、サーバ内の任意のファイルの内容が見えてしまう可能性があるので注意が必要です。 SOAPなどで外部からXMLを受け取るAPIは良くあると思いますが、外部からやってきたXMLをパースする際は、DTD