JVNDB-2009-002364

GNU Wget における任意の SSL サーバを偽装される脆弱性

GNU Wget には、X.509 証明書の Common Name フィールドのドメイン名にある '\0' 文字を適切に処理しないため、任意の SSL サーバを偽装される脆弱性が存在します。

GNU Project

• GNU Wget 1.12 未満

サン・マイクロシステムズ

• OpenSolaris (sparc) 
• OpenSolaris (x86) 
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 2.0 
• Asianux Server 2.1 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux EUS 5.4.z (server) 

リモートの中間者攻撃者により、正規の証明局によって発行された不正な証明書を介して、任意の SSL サーバを偽装される可能性があります。
本脆弱性は、CVE-2009-2408 と関連する脆弱性です。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GNU Project

• GNU Wget : GNU Wget

サン・マイクロシステムズ

• Sun Alert Notification : 273590

ミラクル・リナックス

• Asianux Technical Support Network : wget-1.11.4-2.1.1AXS3
• MIRACLE LINUX アップデート情報 : 1809

レッドハット

• Red Hat Security Advisory : RHSA-2009:1549
• レッドハット セキュリティーアップデート : RHSA-2009:1549

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2009-3490

1. National Vulnerability Database (NVD) : CVE-2009-3490
2. Secunia Advisory : SA36540
3. SecurityFocus : 36205
4. VUPEN Security : VUPEN/ADV-2009-2498

• [2009年12月28日]
    掲載