JVNDB-2010-002294

複数の Mozilla 製品における X.509 証明書の処理に関する任意の SSL サーバになりすまされる脆弱性

複数の Mozilla 製品は、X.509 証明書のサブジェクトの Common Name フィールド内のワイルドカードが付与された IP アドレスを認証してしまうため、任意の SSL サーバになりすまされる脆弱性が存在します。

Mozilla Foundation

• Mozilla Firefox 3.6.11 未満
• Mozilla Firefox 3.5.14 未満
• Mozilla SeaMonkey 2.0.9 未満
• Mozilla Thunderbird 3.1.5 未満
• Mozilla Thunderbird 3.0.9 未満

VMware

• VMware ESX 3.0.3
• VMware ESX 3.5
• VMware ESX 4.0
• VMware ESX 4.1

オラクル

• OpenSolaris
• Oracle Solaris 10 
• Oracle Solaris 11 Express
• Oracle Solaris 9 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 
• RHEL Desktop Workstation 5 (client) 

攻撃者により、巧妙に細工された正規認証局発行の証明書を介して、任意の SSL サーバになりすまされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Mozilla Foundation

• Mozilla Foundation Security Advisory : MFSA2010-70
• Mozilla Foundation セキュリティアドバイザリ : MFSA2010-70

VMware

• VMware Security Advisories : VMSA-2011-0013

オラクル

• SECURITY BLOG : multiple_vulnerabilities_in_mozilla_firefox
• SECURITY BLOG : multiple_vulnerabilities_in_mozilla_thunderbird1
• SECURITY BLOG : cve_2010_3170_browser_wildcard

ミラクル・リナックス

• Asianux Technical Support Network : firefox-3.6.11-2.0.1.AXS3; nss-3.12.8-1.AXS3; xulrunner-1.9.2.11-2.0.1.AXS3
• MIRACLE LINUX アップデート情報 : 2150
• MIRACLE LINUX アップデート情報 : 2144
• MIRACLE LINUX アップデート情報 : 2146

レッドハット

• Red Hat Security Advisory : RHSA-2010:0782
• Red Hat Security Advisory : RHSA-2010:0781
• Red Hat Security Advisory : RHSA-2010:0862

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2010-3170

1. National Vulnerability Database (NVD) : CVE-2010-3170
2. Secunia Advisory : SA42867
3. SecurityFocus : 42817 

• [2010年11月12日]
    掲載
  [2010年12月07日]
    影響を受けるシステム：レッドハット (RHSA-2010:0862) の情報を追加
    ベンダ情報：レッドハット (RHSA-2010:0862) を追加
  [2011年01月27日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_mozilla_firefox) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_mozilla_firefox)
  [2011年05月17日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_mozilla_thunderbird1) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_mozilla_thunderbird1) を追加
  [2011年08月29日]
    影響を受けるシステム：オラクル (cve_2010_3170_browser_wildcard) の情報を追加
    ベンダ情報：オラクル (cve_2010_3170_browser_wildcard) を追加
  [2012年12月18日]
    影響を受けるシステム：VMware (VMSA-2011-0013) の情報を追加
    ベンダ情報：VMware (VMSA-2011-0013) を追加