JVNDB-2014-005969

CPython の httplib ライブラリなどの HTTP クライアントにおける SSL サーバになりすまされる脆弱性

CPython (別名 Python) の (1) httplib、(2) urllib、(3) urllib2、および (4) xmlrpclib ライブラリの HTTP クライアントは、HTTPS URL にアクセスする際、(a) トラストストア (trust store) に対して証明書をチェックしないため、あるいはサーバのホスト名が X.509 証明書のサブジェクトの (b) Common Name (CN) または (c) subjectAltName フィールドのドメイン名と一致することを検証しないため、SSL サーバになりすまされる脆弱性が存在します。

補足情報 : CWE による脆弱性タイプは、CWE-295: Improper Certificate Validation (不正な証明書検証) と識別されています。
http://cwe.mitre.org/data/definitions/295.html

Python Software Foundation

• Python 2.7.9 未満の 2.x
• Python 3.4.3 未満の 3.x

アップル

• Apple Mac OS X 10.10 から 10.10.4

オラクル

• Oracle Solaris 11.2

中間者攻撃 (man-in-the-middle attack) により、任意の有効な証明書を介して、
SSL サーバになりすまされる可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Python Software Foundation

• Python : PEP 476 - Enabling certificate verification by default for stdlib http clients
• Python : Issue22417
• Python : Python 2.7.9

アップル

• Apple Mailing Lists : APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006
• Apple Security Updates : HT205031
• Apple セキュリティアップデート : HT205031

オラクル

• Oracle Technology Network : Oracle Third Party Bulletin - January 2015
• Oracle Technology Network : Oracle Solaris Third Party Bulletin - October 2015

1. その他(CWE-Other) [NVD評価]

1. CVE-2014-9365

1. National Vulnerability Database (NVD) : CVE-2014-9365

• [2014年12月15日]
    掲載
  [2015年03月02日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Third Party Bulletin - January 2015) を追加
  [2015年08月31日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (HT205031) を追加
    ベンダ情報：アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
  [2015年10月30日]
    ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - October 2015) を追加