English ver:
https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md

TL;DR

• 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。
• 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。
• RFC の記載では、（かなりわかりにくく）この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。
• この問題は、 Content-Disposition の filename, filename* というフィールドを明確なターゲットとしている。
• この問題は、 HTTP Request / Response / Email の箇所で影響がそれぞれ変わる。
  • HTTP Request : リクエスト改竄（特にファイルコンテンツの改竄、他のフィールドの汚染等）
  • HTTP Response : Reflect File Download の脆弱性
  • Email : 添付ファイルの改竄（拡張子やファイル名の改竄と、潜在的なファイルコンテンツの改竄等）
• これらの攻撃ベクトルの明確な攻撃対象として、 Content-Disposition (の filename, filename*) を見ている人は現在はあまりいない。
• OWASP の刊行物でこのあたりをちゃんとまとめているのはパッと見ない。 ASVS ではこれに関する Issue が立てられている。
• Content-Disposition の filename, filename* はちゃんとエスケープしましょう。
  • filename:
    • " --> \" or %22
    • \r --> \\r or %0D
    • \n --> \\n or %0A
  • filename*:
    • ちゃんとフォーマットを守って URL Encode する

はじめに

どうも、涼宮カルビの牛角です。

この記事では、2018-2022 のリサーチ結果で発見した 脆弱性に関して書いていきます。 リサーチ期間が非常に長くなっていますが、単純にやる気のアップダウン等が入り混じって調査していない期間が長くなっただけです。実際の調査期間は 3ヶ月-半年程度です。

リサーチの結果、以下のプロダクト(?)で脆弱性を発見しました。

• 1個の ブラウザ
• 1個の プログラミング言語
• 15個の {Web Framework / Library / Web Service } （あえてぼかすために混ぜてます）

見つけた問題は大きく以下の3つに分かれます。

1. HTTP Request における multipart/form-data > Content-Disposition 上の filename のエスケープ不足による、ペイロード生成時のコンテンツ改竄の脆弱性
2. HTTP Response における Content-Disposition ヘッダ上の filename, filename* のエスケープ不足による、Reflect File Download の脆弱性
3. Email の multipart > Content-Disposition における filename のエスケープ不足によるコンテンツ改竄の脆弱性

OSV と CPE

炭治郎です。コロナ２日目です。

自分は知らなかったのですが、 Google が2021年2月に OSV (Open Source Vulnerabilities) と言う脆弱性DBを公開していました。

https://opensource.googleblog.com/2021/02/launching-osv-better-vulnerability.html

この OSV に触れた国内記事はそれほど多くなく、 記事の内容自体も OSS-Fuzz について触れているケースが多そうでした。

ただ、自分的にはその点よりも以下の CPE の課題を解決してくれる点というのが非常に良さそうだと思いました。

This comes from the fact that versioning schemes in existing vulnerability standards (such as Common Platform Enumeration (CPE)) do not map well with the actual open source versioning schemes, which are typically versions/tags and commit hashes.

意訳すると、 CPE などが package manager 上の package 名などと対応していない問題があり、 それを OSV によって解決するという感じです。

この点について、既存のCPEを元にしたパッケージの特定の限界と、 OSV が良さそうという話をしてみようと思います。

はじめに

TOOD 加筆

気力と時間があればかく

本題

さて、書きたいことはこちらの方のツイートに全て書いてあります。

ファイル名検索で”log4j”探して「ありませんでした」じゃダメなんだよね。warファイルの中にあるかもしれないよ。

— 嶋田大貴 (@shimariso) 2021年12月10日

おそらく（直感として）多くの開発者の方は、 本件の対応について以下で済ませているのではないかと心配しています。

「ソースコードを grep して log4j が import されていなかった！ヨシ！」

ただ、本件の問題はそんな片手間だったり１日で終わるように簡単な問題じゃないはずです。 例えば以下は確認しましたか？

• 利用しているフレームワークが依存しているライブラリ一覧に log4j が存在しないか確認しましたか？
  • gradle とかの dependency tree を表示する機能などを使って「ちゃんと」確認しましたか？
  • 実はあって、しかもまだライブラリアップデートが存在しないとか、出会ってませんか？
• サーバーサイド以外に、クライアントサイド（Android App とか）は確認しましたか？
  • 依存していた場合、そのアプリのアップデートをどうするかまで考えてますか？
• ミドルウェアが log4j に依存している場合のことも考えれていますか？
  • ElasticSearch なども影響を受けると言われています。確認・どうするか検討しましたか？
  • apt install XXX とかでインストールした場合、どうやって対応するか検討できましたか？ これらは（自分が知る限り） Dependency Tree を直接出力する術がないはずです。
• SaaS などの利用しているサービスが攻撃を受ける可能性を検討しましたか？

漏れはあるでしょうが、おそらく観点としてはこの辺りがあるはずです。 本件は表層の問題も大きく、根深い問題も更に大きい厄介な案件です。

各位体調第一で頑張りましょう

記事のまとめ

• やってることの殆どは、こちらの方の記事の真似
• 最低限のセットで ¥37,580 円程度 (ライト２枚 2万円 + 棚 8000円の値段を含む)
• 我が家もスマートハウス化
• 色々問題があったが、概ね解決

買ったもの

ひとまず買ったものをバシバシ書きます。 組み立てや問題などについては後述します。

合計: ¥37,580 程度

上のが最低限の費用で、プラスで以下のものを買うと良いかもしれません。

• ヒーター
• サーキュレーター / 外付けファンなど
• SwitchBot Hub（エアコンなどの制御）
• 加湿器