製品・ソフトウェアに関する情報

JVN脆弱性詳細

Mozilla NSS の正規表現の解析における任意のコードを実行される脆弱性

Title	Mozilla NSS の正規表現の解析における任意のコードを実行される脆弱性
Summary	Firefox などで使用されている Mozilla Network Security Services (NSS) の正規表現の解析には、サービス運用妨害 (DoS) 状態となる、または任意のコードを実行される脆弱性が存在します。
Possible impacts	リモートの SSL サーバにより、サービス運用妨害 (DoS) 状態にされる、または任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Aug. 1, 2009, midnight
Registration Date	Sept. 2, 2009, 2:18 p.m.
Last Update	May 9, 2011, 11:11 a.m.

CVSS2.0 : 危険
Score	9.3
Vector	AV:N/AC:M/Au:N/C:C/I:C/A:C

Affected System

サン・マイクロシステムズ

OpenSolaris (sparc)

OpenSolaris (x86)

Sun Java Enterprise System 2005Q4

Sun Java Enterprise System 5

Sun Java System Access Manager Policy Agent 2.2

Sun Java System Web Server 7.0 Update 6 未満

Sun Solaris 10 (sparc)

Sun Solaris 10 (x86)

Sun Solaris 9 (sparc)

Sun Solaris 9 (x86)

レッドハット

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.7 (as)

Red Hat Enterprise Linux 4.7 (es)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

Red Hat Enterprise Linux EUS 5.2.z (server)

Red Hat Enterprise Linux EUS 5.3.z (server)

RHEL Desktop Workstation 5 (client)

オラクル

Oracle Sun Product Suite 5.2

Oracle Sun Product Suite 6.0

Oracle Sun Product Suite 6.1

Oracle Sun Product Suite 6.2

Oracle Sun Product Suite 6.3

Oracle Sun Product Suite 6.3.1

Mozilla Foundation

Mozilla Firefox 3.5 未満

Mozilla Network Security Services (NSS) 3.12.3 未満

Mozilla SeaMonkey

Mozilla Thunderbird

サイバートラスト株式会社

Asianux Server 2.0

Asianux Server 2.1

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2404	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2404
National Vulnerability Database (NVD)
2	CVE-2009-2404	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2404

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
Asianux Technical Support Network
1	nspr-4.7.4-1AXS3.1	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=728
2	nss-3.12.3.99.3-1AXS3.2	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=727
Critical Patch Updates and Security Alerts
3	cpuapr2010	http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html
MIRACLE LINUX アップデート情報
4	1759	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=1759
5	1763	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=1763
6	1764	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=1764
Mozilla Foundation Security Advisory
7	MFSA 2009-43	http://www.mozilla.org/security/announce/2009/mfsa2009-43.html
Mozilla Foundation セキュリティアドバイザリ
8	MFSA 2009-43	http://www.mozilla-japan.org/security/announce/2009/mfsa2009-43.html
Red Hat Security Advisory
9	RHSA-2009:1184	https://rhn.redhat.com/errata/RHSA-2009-1184.html
10	RHSA-2009:1185	https://rhn.redhat.com/errata/RHSA-2009-1185.html
11	RHSA-2009:1186	https://rhn.redhat.com/errata/RHSA-2009-1186.html
12	RHSA-2009:1190	https://rhn.redhat.com/errata/RHSA-2009-1190.html
13	RHSA-2009:1207	https://rhn.redhat.com/errata/RHSA-2009-1207.html
SECURITY BLOG
14	cve_2009_2404_vulnerability_in	http://blogs.sun.com/security/entry/cve_2009_2404_vulnerability_in
Sun
15	Features and Enhancements in Update 6 Release	http://docs.sun.com/app/docs/doc/821-0785/gjhud
Sun Alert Notification
16	267031	http://sunsolve.sun.com/search/document.do?assetkey=1-66-267031-1
17	269468	http://sunsolve.sun.com/search/document.do?assetkey=1-66-269468-1
オラクル・セキュリティ・アラート
18	100416_90	http://www.oracle.com/technology/global/jp/security/100416_90/top.html
レッドハットセキュリティーアップデート
19	RHSA-2009:1184	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1184J.html
20	RHSA-2009:1185	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1185J.html
21	RHSA-2009:1186	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1186J.html
富士通セキュリティ情報
22	TA10-103B	http://software.fujitsu.com/jp/security/vulnerabilities/ta10-103b.html

その他

No	Name	URL
JVN
1	JVNTA10-103B	http://jvn.jp/cert/JVNTA10-103B/
JVN Status Tracking Notes
2	JVNTR-2010-12	http://jvn.jp/tr/JVNTR-2010-12/
Secunia Advisory
3	SA36088	http://secunia.com/advisories/36088
4	SA36093	http://secunia.com/advisories/36093
5	SA36102	http://secunia.com/advisories/36102
6	SA36125	http://secunia.com/advisories/36125
SecurityFocus
7	35891	http://www.securityfocus.com/bid/35891
US-CERT Technical Cyber Security Alert
8	TA10-103B	http://www.us-cert.gov/cas/techalerts/TA10-103B.html
VUPEN Security
9	VUPEN/ADV-2009-2085	http://www.vupen.com/english/advisories/2009/2085

Change Log

No	Changed Details	Date of change
0	[2009年09月02日] 掲載 [2009年10月08日] 影響を受けるシステム：ミラクル・リナックス (nss-3.12.3.99.3-1AXS3.2) の情報を追加影響を受けるシステム：ミラクル・リナックス (nspr-4.7.4-1AXS3.1) の情報を追加ベンダ情報：ミラクル・リナックス (nss-3.12.3.99.3-1AXS3.2) を追加ベンダ情報：ミラクル・リナックス (nspr-4.7.4-1AXS3.1) を追加 [2009年10月29日] 影響を受けるシステム：サン・マイクロシステムズ (269468) の情報を追加影響を受けるシステム：サン・マイクロシステムズ (267031) の情報を追加ベンダ情報：サン・マイクロシステムズ (269468) を追加ベンダ情報：サン・マイクロシステムズ (267031) を追加 [2010年01月28日] 影響を受けるシステム：サン・マイクロシステムズ (Features and Enhancements in Update 6 Release) の情報を追加ベンダ情報：サン・マイクロシステムズ (Features and Enhancements in Update 6 Release) を追加 [2010年05月14日] 影響を受けるシステム：オラクル (cpuapr2010) の情報を追加ベンダ情報：オラクル (cpuapr2010) を追加ベンダ情報：富士通 (TA10-103B) を追加 [2011年05月09日] 影響を受けるシステム：サン・マイクロシステムズ (cve_2009_2404_vulnerability_in) の情報を追加ベンダ情報：オラクル (cve_2009_2404_vulnerability_in) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-2404

Summary	Heap-based buffer overflow in a regular-expression parser in Mozilla Network Security Services (NSS) before 3.12.3, as used in Firefox, Thunderbird, SeaMonkey, Evolution, Pidgin, and AOL Instant Messenger (AIM), allows remote SSL servers to cause a denial of service (application crash) or possibly execute arbitrary code via a long domain name in the subject's Common Name (CN) field of an X.509 certificate, related to the cert_TestHostName function.
Publication Date	Aug. 3, 2009, 11:30 p.m.
Registration Date	Jan. 29, 2021, 1:20 p.m.
Last Update	Oct. 4, 2018, 7 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:mozilla:network_security_services:3.12.3:::::::*
execution environment
1	cpe:2.3:a:aol:instant_messenger::::::::
2	cpe:2.3:a:gnome:evolution::::::::
3	cpe:2.3:a:mozilla:firefox::::::::
4	cpe:2.3:a:mozilla:seamonkey::::::::
5	cpe:2.3:a:mozilla:thunderbird::::::::
6	cpe:2.3:a:pidgin:pidgin::::::::

Related information, measures and tools

No	URL	refsource	タグ
1	http://rhn.redhat.com/errata/RHSA-2009-1185.html	REDHAT
2	http://secunia.com/advisories/36088	SECUNIA	Vendor Advisory
3	http://secunia.com/advisories/36102	SECUNIA	Vendor Advisory
4	http://secunia.com/advisories/36125	SECUNIA	Vendor Advisory
5	http://secunia.com/advisories/36139	SECUNIA	Vendor Advisory
6	http://secunia.com/advisories/36157	SECUNIA	Vendor Advisory
7	http://secunia.com/advisories/36434	SECUNIA
8	http://secunia.com/advisories/37098	SECUNIA
9	http://secunia.com/advisories/39428	SECUNIA
10	http://sunsolve.sun.com/search/document.do?assetkey=1-66-273910-1	SUNALERT
11	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021030.1-1	SUNALERT
12	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021699.1-1	SUNALERT
13	http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf	MISC
14	http://www.debian.org/security/2009/dsa-1874	DEBIAN
15	http://www.mandriva.com/security/advisories?name=MDVSA-2009:197	MANDRIVA
16	http://www.mandriva.com/security/advisories?name=MDVSA-2009:216	MANDRIVA
17	http://www.mozilla.org/security/announce/2009/mfsa2009-43.html	CONFIRM	Patch Vendor Advisory
18	http://www.novell.com/linux/security/advisories/2009_48_firefox.html	SUSE
19	http://www.oracle.com/technetwork/topics/security/cpuapr2010-099504.html	CONFIRM
20	http://www.redhat.com/support/errata/RHSA-2009-1207.html	REDHAT
21	http://www.securityfocus.com/bid/35891	BID	Patch
22	http://www.ubuntu.com/usn/usn-810-1	UBUNTU
23	http://www.us-cert.gov/cas/techalerts/TA10-103B.html	CERT	US Government Resource
24	http://www.vupen.com/english/advisories/2009/2085	VUPEN	Patch Vendor Advisory
25	https://bugzilla.redhat.com/show_bug.cgi?id=512912	CONFIRM
26	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11174	OVAL
27	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A8658	OVAL
28	https://usn.ubuntu.com/810-2/	UBUNTU

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:mozilla:network_security_services:3.12.3:::::::*
execution environment
1	cpe:2.3:a:aol:instant_messenger::::::::
2	cpe:2.3:a:gnome:evolution::::::::
3	cpe:2.3:a:mozilla:firefox::::::::
4	cpe:2.3:a:mozilla:seamonkey::::::::
5	cpe:2.3:a:mozilla:thunderbird::::::::
6	cpe:2.3:a:pidgin:pidgin::::::::