JVNDB-2003-000205

JVNDB-2003-000205
Apache HTTP Server の SSLCipherSuite ディレクティブにおけるサイファー優先付けの脆弱性
概要
Apache HTTP Server に含まれている mod_ssl は、SSLCipherSuite ディレクティブにおけるディレクトリ単位の SSL 通信用のサイファー (暗号化アルゴリズム) 設定の優先付けの問題により、ディレクトリ単位で異なるサイファー (強固なサイファーと弱いサイファー) が混在されている場合、特定の状況において、弱いサイファーが優先して使用されてしまう脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 6.4 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Apache Software Foundation Apache HTTP Server 2.0.46 およびそれ以前サン・マイクロシステムズ Sun Cobalt RaQ4 Sun Cobalt RaQ550 Sun Cobalt RaQXTR ヒューレット・パッカード HP-UX Apache-based Web Server 2.0.43.04 およびそれ以前 (HPApache/B9416BA) HP-UX Apache-based Web Server v.1.0.00.01 およびそれ以前 (hpuxwsAPACHE/hpuxwsApache) HP-UX 11.11 レッドハット Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Linux 7.1 Red Hat Linux 7.2 Red Hat Linux 7.3 Red Hat Linux 8.0 Red Hat Linux 9

想定される影響
弱い暗号化アルゴリズムを利用して本来アクセスできないディレクトリにアクセスされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Apache Software Foundation Apache Software Foundation : 2.0 CHANGES サン・マイクロシステムズ Sun Cobalt RaQ Patches : XTR Apache & mod_ssl Security Update 1.0.1 Sun Cobalt RaQ Patches : 550 Apache & mod_ssl Security Update 0.0.1 Sun Cobalt RaQ Patches : 4 Apache & mod_ssl Security Update 2.0.1 ヒューレット・パッカード HP Security Bulletin : HPSBUX00278 HP セキュリティ報告 : HPSBUX0309-278 レッドハット Red Hat Security Advisory : RHSA-2003:243 Red Hat Security Advisory : RHSA-2003:240 Red Hat Security Advisory : RHSA-2003:244 レッドハットセキュリティーアップデート : RHSA-2003:243 レッドハットセキュリティーアップデート : RHSA-2003:240 レッドハットセキュリティーアップデート : RHSA-2003:244
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2003-0192
参考情報
National Vulnerability Database (NVD) : CVE-2003-0192 SecurityFocus : 8134
更新履歴
[2007年04月01日] 掲載


公表日	2003/07/09
登録日	2007/04/01
最終更新日	2007/04/01

Apache HTTP Server の SSLCipherSuite ディレクティブにおけるサイファー優先付けの脆弱性