JVNDB-2013-003781

PHP の OpenSSL モジュール内の openssl.c における任意の SSL サーバになりすまされる脆弱性

PHP の OpenSSL モジュール内の openssl.c の openssl_x509_parse 関数は、X.509 証明書の Subject Alternative Name フィールド内のドメイン名に含まれる '\0' 文字を適切に処理しないため、任意の SSL サーバになりすまされる脆弱性が存在します。

本脆弱性は、CVE-2009-2408 と関連する問題です。

The PHP Group

• PHP 5.4.18 未満
• PHP 5.5.2 未満の 5.5.x

アップル

• Apple Mac OS X v10.7.5
• Apple Mac OS X v10.8.5
• Apple Mac OS X v10.9
• Apple Mac OS X v10.9.1
• Apple Mac OS X Server v10.7.5

中間者攻撃 (man-in-the-middle attack) により、正当な認証局より発行された巧妙に細工された証明書を介して、任意の SSL サーバになりすまされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1937-1

Debian

• Debian Security Advisory : DSA-2742

The PHP Group

• The PHP Group : PHP 5 ChangeLog
• The PHP Group : Fix CVE-2013-4073 - handling of certs with null bytes

アップル

• Apple Mailing Lists : APPLE-SA-2014-02-25-1
• Apple Security Updates : HT6150
• Apple セキュリティアップデート : HT6150

オラクル

• SECURITY BLOG : Multiple vulnerabilities in PHP
• SECURITY BLOG : CVE-2013-4248 Input Validation vulnerability in PHP

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX03150 SSRT101681

レッドハット

• Red Hat Bugzilla : Bug 997097
• Red Hat Security Advisory : RHSA-2013:1307
• Red Hat Security Advisory : RHSA-2013:1615

1. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2013-4248

1. JVN : JVNVU#95868425
2. National Vulnerability Database (NVD) : CVE-2013-4248

• [2013年08月20日]
    掲載
  [2013年11月11日]
    ベンダ情報：Debian (DSA-2742) を追加
    ベンダ情報：Ubuntu (USN-1937-1) を追加
    ベンダ情報：レッドハット (RHSA-2013:1307) を追加
  [2014年02月28日]
    影響を受けるシステム：アップル (HT6150) の情報を追加
    ベンダ情報：アップル (APPLE-SA-2014-02-25-1) を追加
    ベンダ情報：アップル (HT6150) を追加
    参考情報：JVN (JVNVU#95868425) を追加
  [2014年03月10日]
    ベンダ情報：レッドハット (RHSA-2013:1615) を追加
  [2014年04月07日]
    ベンダ情報：オラクル (Multiple vulnerabilities in PHP) を追加
  [2014年06月02日]
    ベンダ情報：オラクル (CVE-2013-4248 Input Validation vulnerability in PHP) を追加
  [2014年12月08日]
    ベンダ情報：ヒューレット・パッカード (HPSBUX03150 SSRT101681) を追加