JVNDB-2009-001956

JVNDB-2009-001956
複数の Mozilla 製品における任意の SSL サーバになりすまされる脆弱性
概要
複数の Mozilla 製品には、X.509 証明書の Common Name (CN) フィールドにあるドメイン名内の "\0" 文字を適切に処理しないため、任意の SSL サーバになりすまされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.9 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 高可用性への影響(A): なし CVSS v2 による深刻度基本値: 6.8 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Mozilla Foundation Mozilla Firefox 3.5 未満 Mozilla Firefox 3.0.13 未満 Mozilla Network Security Services (NSS) 3.12.3 未満 Mozilla SeaMonkey 1.1.18 未満 Mozilla Thunderbird 2.0.0.23 未満アップル Apple Mac OS X v10.5.8 Apple Mac OS X v10.6 Apple Mac OS X v10.6.1 Apple Mac OS X Server v10.5.8 Apple Mac OS X Server v10.6 Apple Mac OS X Server v10.6.1 サイバートラスト株式会社 Asianux Server 4.0 Asianux Server 4.0 (x86-64) Asianux Server 3 (x86) Asianux Server 3 (x86-64) Asianux Server 2.0 Asianux Server 2.1 Asianux Server 3.0 Asianux Server 3.0 (x86-64) サン・マイクロシステムズ OpenSolaris (sparc) OpenSolaris (x86) Sun Solaris 10 (sparc) Sun Solaris 10 (x86) レッドハット Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 4.7 (as) Red Hat Enterprise Linux 4.8 (as) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 4.7 (es) Red Hat Enterprise Linux 4.8 (es) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux Desktop 4.0 Red Hat Enterprise Linux Desktop 5.0 (client) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux EUS 5.2.z (server) Red Hat Enterprise Linux EUS 5.3.z (server) RHEL Desktop Workstation 5 (client)

想定される影響
巧妙に細工された証明書により、中間者攻撃者に任意の SSL サーバになりすまされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Mozilla Foundation Mozilla Foundation Security Advisory : MFSA 2009-42 Mozilla Foundation セキュリティアドバイザリ : MFSA 2009-42 アップル Apple Security Updates : HT3937 Apple セキュリティアップデート : HT3937 サイバートラスト株式会社 Asianux Technical Support Network : nss-3.12.3.99.3-1AXS3.2 Asianux Technical Support Network : nspr-4.7.4-1AXS3.1 MIRACLE LINUX アップデート情報 : 1763 MIRACLE LINUX アップデート情報 : 1764 MIRACLE LINUX アップデート情報 : 1777 サン・マイクロシステムズ Sun Alert Notification : 269468 レッドハット Red Hat Security Advisory : RHSA-2009:1184 Red Hat Security Advisory : RHSA-2009:1186 Red Hat Security Advisory : RHSA-2009:1190 Red Hat Security Advisory : RHSA-2009:1207 Red Hat Security Advisory : RHSA-2009:1432 レッドハットセキュリティーアップデート : RHSA-2009:1184 レッドハットセキュリティーアップデート : RHSA-2009:1186 レッドハットセキュリティーアップデート : RHSA-2009:1432
CWEによる脆弱性タイプ一覧 CWEとは?
不正な証明書検証(CWE-295) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2009-2408
参考情報
National Vulnerability Database (NVD) : CVE-2009-2408 Secunia Advisory : SA36125 Secunia Advisory : SA36088 Secunia Advisory : SA36093 SecurityFocus : 35888 SecurityTracker : 1022632 VUPEN Security : VUPEN/ADV-2009-2085 OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 56723
更新履歴
[2009年09月02日] 掲載 [2009年10月01日] 影響を受けるシステム：ミラクル・リナックス (nss-3.12.3.99.3-1AXS3.2) の情報を追加影響を受けるシステム：ミラクル・リナックス (nspr-4.7.4-1AXS3.1) の情報を追加影響を受けるシステム：ミラクル・リナックス (1777) の情報を追加影響を受けるシステム：レッドハット (RHSA-2009:1432) の情報を追加ベンダ情報：ミラクル・リナックス (nss-3.12.3.99.3-1AXS3.2) を追加ベンダ情報：ミラクル・リナックス (nspr-4.7.4-1AXS3.1) を追加ベンダ情報：ミラクル・リナックス (1777) を追加ベンダ情報：レッドハット (RHSA-2009:1432) を追加 [2009年10月29日] 影響を受けるシステム：サン・マイクロシステムズ (269468) の情報を追加ベンダ情報：サン・マイクロシステムズ (269468) を追加 [2009年12月17日] 影響を受けるシステム：アップル (HT3937) の情報を追加ベンダ情報：アップル (HT3937) を追加 [2024年03月04日] CVSS による深刻度：内容を更新 CWE による脆弱性タイプ一覧：内容を更新


公表日	2009/08/01
登録日	2009/09/02
最終更新日	2024/03/04

複数の Mozilla 製品 における任意の SSL サーバになりすまされる脆弱性

複数の Mozilla 製品における任意の SSL サーバになりすまされる脆弱性