JVNDB-2009-002449

JVNDB-2009-002449
PostgreSQL における X.509 証明書の処理に関する任意の SSL-based PostgreSQL サーバになりすまされる脆弱性
概要
PostgreSQL には、X.509 証明書の Common Name (CN) フィールド内のドメイン名にある '\0' を適切に処理しないため、任意の SSL-based PostgreSQL サーバになりすまされる脆弱性が存在します。本脆弱性は CVE-2009-2408 と関連があります。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 5.8 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

PostgreSQL.org PostgreSQL 7.4.27 未満 PostgreSQL 8.0.23 未満 PostgreSQL 8.1.19 未満 PostgreSQL 8.2.15 未満 PostgreSQL 8.3.9 未満 PostgreSQL 8.4.2 未満サン・マイクロシステムズ OpenSolaris (sparc) OpenSolaris (x86) Sun Solaris 10 (sparc) Sun Solaris 10 (x86) ターボリナックス Turbolinux Appliance Server 2.0 Turbolinux Appliance Server 3.0 Turbolinux Appliance Server 3.0 (x64) Turbolinux Client 2008 Turbolinux Server 10 Turbolinux Server 10 (x64) Turbolinux Server 11 Turbolinux Server 11 (x64)

想定される影響
巧妙に細工された証明書により、中間者攻撃者に任意の SSL-based PostgreSQL サーバになりすまされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
PostgreSQL.org PostgreSQL Release Notes : release-8-4-2 PostgreSQL Release Notes : release-8-3-9 PostgreSQL Release Notes : release-8-2-15 PostgreSQL Release Notes : release-8-1-19 PostgreSQL Release Notes : release-8-0-23 PostgreSQL Release Notes : release-7-4-27 PostgreSQL Security Information : CVE-2009-4034 サン・マイクロシステムズ Sun Alert Notification : 274870 ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2010-2 製品セキュリティ情報 : TLSA-2010-2
CWEによる脆弱性タイプ一覧 CWEとは?
暗号の問題(CWE-310) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2009-4034
参考情報
National Vulnerability Database (NVD) : CVE-2009-4034 Secunia Advisory : SA37663 SecurityFocus : 37334 SecurityTracker : 1023325 VUPEN Security : VUPEN/ADV-2009-3519 OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 61038
更新履歴
[2010年01月26日] 掲載


公表日	2009/12/15
登録日	2010/01/26
最終更新日	2010/01/26

PostgreSQL における X.509 証明書の処理に関する任意の SSL-based PostgreSQL サーバになりすまされる脆弱性