JVNDB-2014-003863

JVNDB-2014-003863
Serf の複数の関数における任意の SSL サーバになりすまされる脆弱性
概要
Serf の (1) serf_ssl_cert_issuer、(2) serf_ssl_cert_subject、および (3) serf_ssl_cert_certificate 関数は、X.509 証明書のサブジェクトの Common Name (CN) フィールドのドメイン名の NUL バイトを適切に処理しないため、任意の SSL サーバになりすまされる脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-297: Improper Validation of Certificate with Host Mismatch (ホストの不一致による証明書の不適切な検証) と識別されています。 http://cwe.mitre.org/data/definitions/297.html
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

Apache Software Foundation Apache Subversion 1.4.0 から 1.7.17 Apache Subversion 1.8.0 から 1.8.9 Canonical Ubuntu 14.04 LTS Ubuntu 12.04 LTS Serf Development Serf 1.3.7 未満の 0.2.0 から 1.3.x

想定される影響
中間攻撃者により、正規の認証局により発行された、巧妙に細工された証明書を介して、任意の SSL サーバになりすまされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Apache Software Foundation Apache Software Foundation : CVE-2014-3522-advisory Canonical Ubuntu Security Notice : USN-2315-1 Serf Development Google Code : serf Google Groups : Serf Security Advisory for CVE-2014-3504: SSL Certificate Null Byte Poisoning オラクル Oracle Technology Network : Oracle Solaris Third Party Bulletin - October 2015
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-3504
参考情報
National Vulnerability Database (NVD) : CVE-2014-3504
更新履歴
[2014年08月21日] 掲載 [2015年10月30日] ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加


公表日	2014/08/12
登録日	2014/08/21
最終更新日	2015/10/30

Serf の複数の関数における任意の SSL サーバになりすまされる脆弱性