SNS Advisory No.84
Oracle Application Server HTTP Response Splitting Vulnerability

Problem first discovered on: Tue, 01 Feb 2005
Published on: Fri, 21 Oct 2005

脅威度：
中

概要：
Oracle Application Serverには、HTTPレスポンス分割攻撃が可能となる脆弱性が存在しています。
これにより、実際にはサイトに存在していないコンテンツをあたかもサイトに存在しているかのように表示させることや、クロスサイトスクリプティング攻撃を行うことが可能です。

問題：
Oracle Application Serverには、セッション管理パラメータをURL内に埋め込んで指定することができるSession URL Rewritingの機能が存在します。

Oracle Application Serverは、Session URL Rewriting機能において、URLに指定されたセッション管理パラメータをCookieとしてセットし直す際に、特殊文字を適切にサニタイズしていません。

このため、URLに、改行コードではじまる任意のコンテンツを含むセッション管理パラメータを指定した場合に、そのレスポンスとして、任意のHTTPヘッダやコンテンツを出力させることが可能です。
これにより、実際にはサイトに存在していないコンテンツをあたかもサイトに存在しているかのように表示させることや、クロスサイトスクリプティング攻撃を行うことなどが可能です。
これは、フィッシング詐欺や、セッションハイジャックなどに悪用される恐れがあります。

発見者：
山崎 圭吾（LAC）

影響を受けるバージョン：
Oracle9i Application Server Release 2（9.0.2.3）
Oracle Application Server 10g Release 1（9.0.4.2）
Oracle Application Server 10g Release 2（10.1.2.0）

対策：
Critical Patch Update - October 2005を適用してください。
http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/84.html