【活用ガイド】

JVNDB-2009-001911

XML 署名の検証において認証回避が可能な問題

概要

XML 署名 (XMLDsig) で規定されている HMAC truncation に起因する認証回避が可能な問題が存在します。

XMLDsig は、デジタル署名のための XML 構文を規定する W3C 勧告の一つです。XMLDsig は SOAP などのウェブサービスで使用されています。XMLDsig は RFC 2104 で規定されている HMAC truncation をサポートしています。RFC2104 ではハッシュ値の半分あるいは 80 bit 以上使用することを推奨しています。しかしながら、XMLDsig ではハッシュ値の出力長に対する制限が設けられていません。HMAC truncation が攻撃者によって操作された場合、結果として認証回避が起きる可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


IBM
  • IBM WebSphere Application Server 6.0 から 6.0.2.33
  • IBM WebSphere Application Server 6.1 から 6.1.0.23
  • IBM WebSphere Application Server 7.0 から 7.0.0.1
OpenOffice.org Project
  • OpenOffice.org 3.2 未満
  • OpenOffice.org 2
アップル
  • Apple Mac OS X v10.5.8
  • Apple Mac OS X Server v10.5.8
オラクル
  • BEA Product Suite 10.3
  • BEA Product Suite 10.0 MP1
  • BEA Product Suite 9.2 MP3
  • BEA Product Suite 9.1
  • BEA Product Suite 9.0
  • BEA Product Suite 8.1 SP6
  • OpenSSO Enterprise 8.0
  • Oracle Application Server 10.1.2.3
  • Oracle Application Server 10.1.3.4
  • Oracle Application Server 10.1.4.3IM
サン・マイクロシステムズ
  • JDK 6 Update 14 およびそれ以前
  • JRE 6 Update 14 およびそれ以前
ヒューレット・パッカード
  • HP-UX 11.11 
  • HP-UX 11.23 
  • HP-UX 11.31 
マイクロソフト
  • Microsoft .NET Framework 1.0
  • Microsoft .NET Framework 1.1
  • Microsoft .NET Framework 2.0
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 3.5.1
  • Microsoft Windows 2000
  • Microsoft Windows 7 (x32) 
  • Microsoft Windows 7 (x64) 
  • Microsoft Windows Server 2003
  • Microsoft Windows Server 2003 (itanium) 
  • Microsoft Windows Server 2003 (x64) 
  • Microsoft Windows Server 2008 (x86) 
  • Microsoft Windows Server 2008 (itanium) 
  • Microsoft Windows Server 2008 (x64) 
  • Microsoft Windows Server 2008 r2(itanium) 
  • Microsoft Windows Server 2008 r2(x64) 
  • Microsoft Windows Vista
  • Microsoft Windows Vista (x64) 
  • Microsoft Windows XP sp3 
  • Microsoft Windows XP
  • Microsoft Windows XP (x64) 
ミラクル・リナックス
  • Asianux Server 3 (x86) 
  • Asianux Server 3 (x86-64) 
レッドハット
  • Red Hat Enterprise Linux Extras 4 extras 
  • Red Hat Enterprise Linux Extras 4.8.z extras 
  • RHEL Desktop Supplementary 5 (client) 
  • RHEL Supplementary 5 (server) 
  • RHEL Supplementary EUS 5.3.z (server) 
  • RHEL Supplementary EUS 5.4.z (server) 
  • Red Hat Enterprise Linux 5 (server) 
  • Red Hat Enterprise Linux 4 (as) 
  • Red Hat Enterprise Linux 4.8 (as) 
  • Red Hat Enterprise Linux 4 (es) 
  • Red Hat Enterprise Linux 4.8 (es) 
  • Red Hat Enterprise Linux 4 (ws) 
  • Red Hat Enterprise Linux Desktop 5.0 (client) 
  • Red Hat Enterprise Linux Desktop 4.0 
  • Red Hat Enterprise Linux EUS 5.3.z (server) 
  • Red Hat Enterprise Linux EUS 5.4.z (server) 
  • RHEL Desktop Workstation 5 (client) 

想定される影響

XMLDsig で定められている認証メカニズムを攻撃者によって回避される可能性があります。
対策

W3C より XMLDsig の勧告が更新されました。詳しくは Errata for XML Signature 2nd Edidtion をご確認ください。

[アップデートする]
ベンダが本問題に対応するアップデートを提供している場合、それを適用してください。
ベンダ情報

IBM OpenOffice.org Project アップル
  • Apple Security Updates : HT3851
  • Apple セキュリティアップデート : HT3851
オラクル
  • Critical Patch Updates and Security Alerts : cpujul2009
  • Critical Patch Updates and Security Alerts : cpujul2010
  • オラクル・セキュリティ・アラート : 090717_87
  • オラクル・セキュリティ・アラート : 100716_91
サン・マイクロシステムズ ヒューレット・パッカード マイクロソフト
  • Microsoft Security Bulletin : MS10-041
  • マイクロソフト セキュリティ情報 : MS10-041
  • 絵でみるセキュリティ情報 : MS10-041e
ミラクル・リナックス レッドハット 富士通
  • 富士通 セキュリティ情報 : TA10-159B
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 設計上の問題(CWE-DesignError) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2009-0217
参考情報

  1. JVN : JVNVU#466161
  2. JVN : JVNTA10-159B
  3. National Vulnerability Database (NVD) : CVE-2009-0217
  4. JPCERT 緊急報告 : JPCERT-AT-2010-0014
  5. 警察庁 @police : マイクロソフト社のセキュリティ修正プログラムについて(MS10-032,033,034,035,036,037,038,039,040,041)
  6. US-CERT Cyber Security Alerts : SA10-159B
  7. US-CERT Vulnerability Note : VU#466161 
  8. US-CERT Technical Cyber Security Alert : TA10-159B
  9. Secunia Advisory : SA35776
  10. Secunia Advisory : SA35854
  11. Secunia Advisory : SA35853
  12. Secunia Advisory : SA34461
  13. Secunia Advisory : SA36180
  14. Secunia Advisory : SA36176
  15. Secunia Advisory : SA40080 
  16. SecurityFocus : 35671
  17. SecurityTracker : 1022661
  18. SecurityTracker : 1022567
  19. SecurityTracker : 1022561
  20. VUPEN Security : VUPEN/ADV-2009-1900
  21. VUPEN Security : VUPEN/ADV-2009-1912
  22. VUPEN Security : VUPEN/ADV-2010-1398
  23. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 55907
  24. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 55895
  25. IETF : RFC 2104
  26. W3C : Errata for XML Signature 2nd Edidtion
  27. W3C : W3C - Questions & Answers Blog
  28. W3C : W3C Recommendation
更新履歴

  • [2009年08月20日]
      掲載
    [2009年09月29日]
      影響を受けるシステム:アップル (HT3851) の情報を追加
      影響を受けるシステム:ミラクル・リナックス (jdk-1.6.0_15) の情報を追加
      影響を受けるシステム:レッドハット (RHSA-2009:1428) の情報を追加
      ベンダ情報:アップル (HT3851) を追加
      ベンダ情報:ミラクル・リナックス (jdk-1.6.0_15) を追加
      ベンダ情報:レッドハット (RHSA-2009:1428) を追加
    [2009年12月21日]
      影響を受けるシステム:ヒューレット・パッカード (HPSBUX02476) の情報を追加
      ベンダ情報:ヒューレット・パッカード (HPSBUX02476) を追加
    [2010年01月26日]
      影響を受けるシステム:レッドハット (RHSA-2009:1694) の情報を追加
      ベンダ情報:レッドハット (RHSA-2009:1694) を追加
    [2010年02月26日]
      影響を受けるシステム:OpenOffice.org (CVE-2009-0217) の情報を追加
      ベンダ情報:OpenOffice.org (CVE-2009-0217) を追加
    [2010年07月01日]
      影響を受けるシステム:マイクロソフト (MS10-035) の情報を追加
      ベンダ情報:マイクロソフト (MS10-035) を追加
      ベンダ情報:マイクロソフト (MS10-035e) を追加
      ベンダ情報:富士通 (TA10-159B) を追加
    [2010年07月22日]
      影響を受けるシステム:オラクル (cpujul2010) の情報を追加
      ベンダ情報:オラクル (cpujul2010) を追加
      ベンダ情報:オラクル (100716_91) を追加