更新於 2016 年 2 月 20 日
Apache Cordova 重新檢視了 CVE-2015-5256「Apache Cordova 在 Android 上對白名單限制的應用不當」。經過進一步調查,我們發現此漏洞的限制比先前理解的更為有限。我們將嚴重性降低至「低」,並更新了描述、受影響版本和升級路徑。
CVE-2015-5257 在 Cordova 3.6.4 中仍然是一個有效的漏洞,此漏洞已在較新版本的 Cordova 中修復。我們鼓勵使用者升級到 4.1.1,而需要支援 Marshmallow (API 23+) 的使用者,我們建議升級到 Cordova Android 5.1.x。
使用 Cordova CLI 時,使用 Cordova Android 4.1.1 或 5.1.0 的指令是
cordova platform add android@4.1.0
cordova platform add android@5.1.0
安全問題為 CVE-2015-5256 和 CVE-2015-5257
為了您的方便,此處包含 CVE 的文字內容。
更新於 2016 年 2 月 20 日
CVE-2015-5256:Apache Cordova 在 Android 上對白名單限制的應用不當
嚴重性:低
受影響版本:具有白名單功能的 Cordova Android
描述
使用 Apache Cordova 建立的 Android 應用程式,若使用遠端伺服器,則存在一個漏洞,其中針對使用 http 和 https 協定的網址的白名單限制未正確套用。白名單無法阻擋從白名單遠端網站重新導向到非白名單網站的網路重新導向。
升級路徑
此漏洞沒有特定的軟體修補程式。關心此問題的開發人員應確保僅將受信任的網站加入白名單,並確保白名單上的網站不會重新導向到惡意網站。開發人員也應使用 SSL 以及內容安全性原則 (CSP) 來進一步減輕此問題。強烈建議開發人員升級到最新版本的 Cordova Android。
致謝:Sony Digital Network Applications, Inc 的 Muneaki Nishimura __
CVE-2015-5257:Apache Cordova Android 的 BridgeSecret 隨機性不足
嚴重性:低
供應商:The Apache Software Foundation
受影響版本:Cordova Android 3.6.4 及更早版本
描述
Cordova 使用一個橋樑,允許原生應用程式與控制使用者介面的 HTML 和 Javascript 通訊。為了保護 Android 上的這個橋樑,該框架使用 BridgeSecret 來防止第三方劫持。但是,BridgeSecret 的隨機性不足,在某些情況下可以確定。
升級路徑
關心此問題的開發人員應使用 Cordova Android 4.1.1 或更高版本重新建置應用程式。3.6.4 之後的版本不包含此漏洞。
致謝:IBM X-Force 應用程式安全研究團隊的 David Kaplan & Roee Hay