JVNDB-2013-003780

Python の SSL モジュールの ssl.match_hostname 関数における任意の SSL サーバになりすまされる脆弱性

Python の SSL モジュールの ssl.match_hostname 関数は、X.509 証明書の Subject Alternative Name フィールド内のドメイン名に含まれる '\0' 文字を適切に処理しないため、任意の SSL サーバになりすまされる脆弱性が存在します。

本脆弱性は、CVE-2009-2408 と関連する問題です。

Canonical

• Ubuntu 10.04 LTS

Novell

• openSUSE 11.4
• openSUSE 12.2
• openSUSE 12.3

Python Software Foundation

• Python 2.6 から 3.4

VMware

• VMware ESXi 5.0
• VMware ESXi 5.1 ESXi510-201412101-SG 未満の 5.1
• VMware ESXi 5.5

中間者攻撃 (man-in-the-middle attack) により、正当な認証局より発行された巧妙に細工された証明書を介して、任意の SSL サーバになりすまされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1982-1

Novell

• opensuse-updates : openSUSE-SU-2013:1437
• opensuse-updates : openSUSE-SU-2013:1438
• opensuse-updates : openSUSE-SU-2013:1439
• opensuse-updates : openSUSE-SU-2013:1440
• opensuse-updates : openSUSE-SU-2013:1462
• opensuse-updates : openSUSE-SU-2013:1463

Python Software Foundation

• Python : issue18709

VMware

• VMware Security Advisories : VMSA-2014-0012

オラクル

• SECURITY BLOG : CVE-2013-4238 Input Validation vulnerability in Python

レッドハット

• Red Hat Bugzilla : Bug 996381
• Red Hat Security Advisory : RHSA-2013:1582

1. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2013-4238

1. National Vulnerability Database (NVD) : CVE-2013-4238

• [2013年08月20日]
    掲載
  [2013年10月28日]
    CVSS による深刻度：内容を更新
    影響を受けるシステム：内容を更新
    ベンダ情報：Ubuntu (Ubuntu Security Notice USN-1982-1) を追加
    ベンダ情報：Novell (openSUSE-SU-2013:1437) を追加
    ベンダ情報：Novell (openSUSE-SU-2013:1438) を追加
    ベンダ情報：Novell (openSUSE-SU-2013:1439) を追加
    ベンダ情報：Novell (openSUSE-SU-2013:1440) を追加
    ベンダ情報：Novell (openSUSE-SU-2013:1462) を追加
    ベンダ情報：Novell (openSUSE-SU-2013:1463) を追加
    ベンダ情報：オラクル (CVE-2013-4238 Input Validation vulnerability in Python) を追加
  [2013年12月26日]
    ベンダ情報：レッドハット (RHSA-2013:1582) を追加
  [2014年12月18日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：VMware (VMSA-2014-0012) を追加