JVNDB-2012-003022

FreeBSD の crypt_des 関数におけるアクセス権を取得される脆弱性

PHP、PostgreSQL、および他の製品で使用される FreeBSD の crypt_des 関数は、0x80 文字を含んだ平文パスワードを適切に処理しないため、アクセス権を取得される脆弱性が存在します。

FreeBSD

• FreeBSD 7.4-STABLE 未満 (RELENG_7)
• FreeBSD 7.4-RELEASE-p8 未満 (RELENG_7_4)
• FreeBSD 8.3-STABLE 未満 (RELENG_8)
• FreeBSD 8.3-RELEASE-p2 未満 (RELENG_8_3)
• FreeBSD 8.2-RELEASE-p8 未満 (RELENG_8_2)
• FreeBSD 8.1-RELEASE-p10 未満 (RELENG_8_1)
• FreeBSD 9.0-STABLE 未満 (RELENG_9)
• FreeBSD 9.0-RELEASE-p2 未満 (RELENG_9_0)

PostgreSQL.org

• PostgreSQL 9.1.4 未満の 9.1.x
• PostgreSQL 9.0.8 未満の 9.0.x
• PostgreSQL 8.4.12 未満の 8.4.x
• PostgreSQL 8.3.19 未満の 8.3.x

The PHP Group

• PHP 5.4.4 未満の 5.4.x
• PHP 5.3.14 未満の 5.3.x

アップル

• Apple Mac OS X v10.6.8
• Apple Mac OS X v10.7 から v10.7.4
• Apple Mac OS X v10.8
• Apple Mac OS X v10.8.1
• Apple Mac OS X Server v10.6.8
• Apple Mac OS X Server v10.7 から v10.7.4

* FreeBSD
修正日が 2012-05-30 より以降のバージョンは影響を受けません。
詳しくは、FreeBSD が提供する FreeBSD-SA-12:02.crypt をご確認ください。

攻撃者により、文字列の始めに問題の文字が含まれるパスワードに対する認証試行を介して、アクセス権を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Debian

• Debian Security Advisory : DSA-2491-1

Fedora Project

• Fedora Update Notification : FEDORA-2012-8915
• Fedora Update Notification : FEDORA-2012-8924
• Fedora Update Notification : FEDORA-2012-8893

FreeBSD

• FreeBSD Security Advisory : FreeBSD-SA-12:02.crypt

Mandriva, Inc.

• Security Advisories : MDVSA-2012:092

Novell

• opensuse-security-announce : SUSE-SU-2012:0840
• opensuse-updates : openSUSE-SU-2012:1299
• opensuse-updates : openSUSE-SU-2012:1251
• opensuse-updates : openSUSE-SU-2012:1288

PostgreSQL.org

• PostgreSQL : postgresql.git / commit
• PostgreSQL Release Notes : Release 9.1.4
• PostgreSQL Release Notes : Release 9.0.8
• PostgreSQL Release Notes : Release 8.4.12
• PostgreSQL Release Notes : Release 8.3.19
• PostgreSQL Security Information : Top Page

The PHP Group

• The PHP Group : fix CVE-2012-2143
• The PHP Group : PHP 5.4.4 and PHP 5.3.14 released
• The PHP Group : PHP 5 ChangeLog

アップル

• Apple Mailing Lists : APPLE-SA-2012-09-19-2
• Apple Security Updates : HT5501
• Apple セキュリティアップデート : HT5501

オラクル

• SECURITY BLOG : Multiple vulnerabilities in postgresql

レッドハット

• Red Hat Bugzilla : Bug 816956
• Red Hat Security Advisory : RHSA-2012:1037

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2012-2143

1. JVN : JVNVU#381963
2. National Vulnerability Database (NVD) : CVE-2012-2143

• [2012年07月09日]
    掲載
  [2012年07月26日]
    ベンダ情報：Fedora Project (FEDORA-2012-8915) を追加
    ベンダ情報：Fedora Project (FEDORA-2012-8924) を追加
    ベンダ情報：Fedora Project (FEDORA-2012-8893) を追加
    ベンダ情報：openSUSE (SUSE-SU-2012:0840) を追加
    ベンダ情報：レッドハット (RHSA-2012:1037) を追加
    ベンダ情報：Debian (DSA-2491-1) を追加
    ベンダ情報：Mandriva, Inc. (MDVSA-2012:092) を追加
  [2012年08月03日]
    ベンダ情報：オラクル (Multiple vulnerabilities in postgresql) を追加
  [2012年10月16日]
    ベンダ情報：アップル (HT5501) を追加
  [2012年10月22日]
    ベンダ情報：openSUSE (openSUSE-SU-2012:1299) を追加
  [2012年11月05日]
    ベンダ情報：openSUSE (openSUSE-SU-2012:1251) を追加
    ベンダ情報：openSUSE (openSUSE-SU-2012:1288) を追加
  [2014年02月13日]
    影響を受けるシステム：アップル (HT5501) の情報を追加
    ベンダ情報：アップル (APPLE-SA-2012-09-19-2) を追加