JVNDB-2012-006266
|
Apache Commons HttpClient の http/conn/ssl/AbstractVerifier.java における SSL サーバになりすまされる脆弱性
|
|
Apache Commons HttpClient の http/conn/ssl/AbstractVerifier.java は、サーバのホスト名が X.509 証明書のサブジェクトの Common Name (CN) または subjectAltName フィールドのドメイン名と一致することを適切に検証しないため、SSL サーバになりすまされる脆弱性が存在します。
本問題は CVE-2012-5783 の修正が不完全だったことによる問題です。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Apache Software Foundation
- Commons HttpClient 4.2.3 未満
ヒューレット・パッカード・エンタープライズ
- HPE Network Node Manager i 10.00
- HPE Network Node Manager i 10.01
- HPE Network Node Manager i 9.20
- HPE Network Node Manager i 9.23
- HPE Network Node Manager i 9.24
- HPE Network Node Manager i 9.25
|
|
|
中間者攻撃 (man-in-the-middle attack) により、CN フィールドではないフィールドに共通名を指定するサブジェクトを持つ証明書を介して、SSL サーバになりすまされる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Apache Software Foundation
IBM
ヒューレット・パッカード・エンタープライズ
レッドハット
|
|
- 不適切な入力確認(CWE-20) [NVD評価]
|
|
- CVE-2012-6153
|
|
- National Vulnerability Database (NVD) : CVE-2012-6153
|
|
- [2014年09月05日]
掲載
[2015年03月02日]
ベンダ情報:レッドハット (RHSA-2015:0234) を追加
ベンダ情報:レッドハット (RHSA-2015:0235) を追加
ベンダ情報:レッドハット (RHSA-2014:1833) を追加
ベンダ情報:レッドハット (RHSA-2014:1892) を追加
ベンダ情報:レッドハット (RHSA-2014:1834) を追加
ベンダ情報:レッドハット (RHSA-2014:1835) を追加
ベンダ情報:レッドハット (RHSA-2015:0158) を追加
ベンダ情報:レッドハット (RHSA-2014:1836) を追加
ベンダ情報:レッドハット (Do CVE-2012-6153 and CVE-2014-3577 affect Red Hat products?) を追加
[2015年05月08日]
ベンダ情報:レッドハット (RHSA-2015:0675) を追加
ベンダ情報:レッドハット (RHSA-2015:0720) を追加
ベンダ情報:レッドハット (RHSA-2015:0765) を追加
ベンダ情報:レッドハット (RHSA-2015:0850) を追加
ベンダ情報:レッドハット (RHSA-2015:0851) を追加
[2015年06月09日]
ベンダ情報:レッドハット (RHSA-2015:0125) を追加
[2016年02月03日]
ベンダ情報:IBM (1972799) を追加
[2016年09月30日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03584) を追加
|
