製品・ソフトウェアに関する情報

JVN脆弱性詳細

cURL および libcurl における、任意の SSL サーバになりすまされる脆弱性

Title	cURL および libcurl における、任意の SSL サーバになりすまされる脆弱性
Summary	cURL および libcurl には、OpenSSL を使用している場合に X.509 証明書の Common Name (CN) フィールドにあるドメイン名内の '\0' 文字を適切に処理しないため、任意の SSL サーバになりすまされる脆弱性が存在します。
Possible impacts	巧妙に細工された証明書により、中間者攻撃者に任意の SSL サーバになりすまされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Aug. 12, 2009, midnight
Registration Date	Sept. 29, 2009, 12:06 p.m.
Last Update	April 13, 2010, 2:46 p.m.

CVSS2.0 : 危険
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P

Affected System

レッドハット

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

Red Hat Enterprise Linux EUS 5.3.z (server)

RHEL Desktop Workstation 5 (client)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X v10.6 から v10.6.2

Apple Mac OS X Server v10.5.8

Apple Mac OS X Server v10.6 から v10.6.2

Haxx

cURL 7.4 から 7.19.5

libcurl 7.4 から 7.19.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2417	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2417
National Vulnerability Database (NVD)
2	CVE-2009-2417	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2417

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT4077	http://support.apple.com/kb/HT4077
Apple セキュリティアップデート
2	HT4077	http://support.apple.com/kb/HT4077?viewlocale=ja_JP
Asianux Technical Support Network
3	curl-7.15.5-2.1AXS3.5	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=734
MIRACLE LINUX アップデート情報
4	1771	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=1771
Red Hat Security Advisory
5	RHSA-2009:1209	https://rhn.redhat.com/errata/RHSA-2009-1209.html
Security Advisory
6	adv_20090812	http://curl.haxx.se/docs/adv_20090812.html
レッドハットセキュリティーアップデート
7	RHSA-2009:1209	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1209J.html

その他

No	Name	URL
ISS X-Force Database
1	52405	http://xforce.iss.net/xforce/xfdb/52405
Secunia Advisory
2	SA36238	http://secunia.com/advisories/36238
SecurityFocus
3	36032	http://www.securityfocus.com/bid/36032
VUPEN Security
4	VUPEN/ADV-2009-2263	http://www.vupen.com/english/advisories/2009/2263

Change Log

No	Changed Details	Date of change
0	[2009年09月29日] 掲載 [2010年04月13日] 影響を受けるシステム：アップル (HT4077) の情報を追加ベンダ情報：アップル (HT4077) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-2417

Summary	lib/ssluse.c in cURL and libcurl 7.4 through 7.19.5, when OpenSSL is used, does not properly handle a '\0' character in a domain name in the subject's Common Name (CN) field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.
Publication Date	Aug. 15, 2009, 12:16 a.m.
Registration Date	Jan. 29, 2021, 1:20 p.m.
Last Update	Oct. 11, 2018, 4:40 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:curl:libcurl:7.4:::::::*
cpe:2.3:a:curl:libcurl:7.4.1:::::::*
cpe:2.3:a:curl:libcurl:7.4.2:::::::*
cpe:2.3:a:curl:libcurl:7.5:::::::*
cpe:2.3:a:curl:libcurl:7.5.1:::::::*
cpe:2.3:a:curl:libcurl:7.5.2:::::::*
cpe:2.3:a:curl:libcurl:7.6:::::::*
cpe:2.3:a:curl:libcurl:7.6.1:::::::*
cpe:2.3:a:curl:libcurl:7.7:::::::*
cpe:2.3:a:curl:libcurl:7.7.1:::::::*
cpe:2.3:a:curl:libcurl:7.7.2:::::::*
cpe:2.3:a:curl:libcurl:7.7.3:::::::*
cpe:2.3:a:curl:libcurl:7.8:::::::*
cpe:2.3:a:curl:libcurl:7.8.1:::::::*
cpe:2.3:a:curl:libcurl:7.9:::::::*
cpe:2.3:a:curl:libcurl:7.9.1:::::::*
cpe:2.3:a:curl:libcurl:7.9.2:::::::*
cpe:2.3:a:curl:libcurl:7.9.3:::::::*
cpe:2.3:a:curl:libcurl:7.9.5:::::::*
cpe:2.3:a:curl:libcurl:7.9.6:::::::*
cpe:2.3:a:curl:libcurl:7.9.7:::::::*
cpe:2.3:a:curl:libcurl:7.9.8:::::::*
cpe:2.3:a:curl:libcurl:7.10:::::::*
cpe:2.3:a:curl:libcurl:7.10.1:::::::*
cpe:2.3:a:curl:libcurl:7.10.2:::::::*
cpe:2.3:a:curl:libcurl:7.10.3:::::::*
cpe:2.3:a:curl:libcurl:7.10.4:::::::*
cpe:2.3:a:curl:libcurl:7.10.5:::::::*
cpe:2.3:a:curl:libcurl:7.10.6:::::::*
cpe:2.3:a:curl:libcurl:7.10.7:::::::*
cpe:2.3:a:curl:libcurl:7.10.8:::::::*
cpe:2.3:a:curl:libcurl:7.11.0:::::::*
cpe:2.3:a:curl:libcurl:7.11.1:::::::*
cpe:2.3:a:curl:libcurl:7.11.2:::::::*
cpe:2.3:a:curl:libcurl:7.12:::::::*
cpe:2.3:a:curl:libcurl:7.12.0:::::::*
cpe:2.3:a:curl:libcurl:7.12.1:::::::*
cpe:2.3:a:curl:libcurl:7.12.2:::::::*
cpe:2.3:a:curl:libcurl:7.12.3:::::::*
cpe:2.3:a:curl:libcurl:7.13:::::::*
cpe:2.3:a:curl:libcurl:7.13.1:::::::*
cpe:2.3:a:curl:libcurl:7.13.2:::::::*
cpe:2.3:a:curl:libcurl:7.14:::::::*
cpe:2.3:a:curl:libcurl:7.14.1:::::::*
cpe:2.3:a:curl:libcurl:7.15:::::::*
cpe:2.3:a:curl:libcurl:7.15.1:::::::*
cpe:2.3:a:curl:libcurl:7.15.2:::::::*
cpe:2.3:a:curl:libcurl:7.15.3:::::::*
cpe:2.3:a:curl:libcurl:7.16.3:::::::*
cpe:2.3:a:curl:libcurl:7.17.0:::::::*
cpe:2.3:a:curl:libcurl:7.17.1:::::::*
cpe:2.3:a:curl:libcurl:7.18.0:::::::*
cpe:2.3:a:curl:libcurl:7.18.1:::::::*
cpe:2.3:a:curl:libcurl:7.18.2:::::::*
cpe:2.3:a:curl:libcurl:7.19.0:::::::*
cpe:2.3:a:curl:libcurl:7.19.1:::::::*
cpe:2.3:a:curl:libcurl:7.19.2:::::::*
cpe:2.3:a:curl:libcurl:7.19.3:::::::*
cpe:2.3:a:curl:libcurl:7.19.4:::::::*
cpe:2.3:a:curl:libcurl:7.19.5:::::::*
cpe:2.3:a:libcurl:libcurl:7.12:::::::*
cpe:2.3:a:libcurl:libcurl:7.12.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.12.2:::::::*
cpe:2.3:a:libcurl:libcurl:7.12.3:::::::*
cpe:2.3:a:libcurl:libcurl:7.13:::::::*
cpe:2.3:a:libcurl:libcurl:7.13.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.13.2:::::::*
cpe:2.3:a:libcurl:libcurl:7.14:::::::*
cpe:2.3:a:libcurl:libcurl:7.14.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.15:::::::*
cpe:2.3:a:libcurl:libcurl:7.15.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.15.2:::::::*
cpe:2.3:a:libcurl:libcurl:7.15.3:::::::*
cpe:2.3:a:libcurl:libcurl:7.16.3:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://curl.haxx.se/CVE-2009-2417/curl-7.10.6-CVE-2009-2417.patch	CONFIRM	Patch
2	http://curl.haxx.se/CVE-2009-2417/curl-7.11.0-CVE-2009-2417.patch	CONFIRM	Patch
3	http://curl.haxx.se/CVE-2009-2417/curl-7.12.1-CVE-2009-2417.patch	CONFIRM	Patch
4	http://curl.haxx.se/CVE-2009-2417/curl-7.15.1-CVE-2009-2417.patch	CONFIRM	Patch
5	http://curl.haxx.se/CVE-2009-2417/curl-7.15.5-CVE-2009-2417.patch	CONFIRM	Patch
6	http://curl.haxx.se/CVE-2009-2417/curl-7.16.4-CVE-2009-2417.patch	CONFIRM	Patch Vendor Advisory
7	http://curl.haxx.se/CVE-2009-2417/curl-7.18.1-CVE-2009-2417.patch	CONFIRM	Patch
8	http://curl.haxx.se/CVE-2009-2417/curl-7.19.0-CVE-2009-2417.patch	CONFIRM	Patch
9	http://curl.haxx.se/CVE-2009-2417/curl-7.19.5-CVE-2009-2417.patch	CONFIRM	Patch
10	http://curl.haxx.se/docs/adv_20090812.txt	CONFIRM	Vendor Advisory
11	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	APPLE
12	http://secunia.com/advisories/36238	SECUNIA	Vendor Advisory
13	http://secunia.com/advisories/36475	SECUNIA
14	http://secunia.com/advisories/37471	SECUNIA
15	http://secunia.com/advisories/45047	SECUNIA
16	http://shibboleth.internet2.edu/secadv/secadv_20090817.txt	CONFIRM
17	http://support.apple.com/kb/HT4077	CONFIRM
18	http://wiki.rpath.com/Advisories:rPSA-2009-0124	CONFIRM
19	http://www.securityfocus.com/archive/1/506055/100/0/threaded	BUGTRAQ
20	http://www.securityfocus.com/archive/1/507985/100/0/threaded	BUGTRAQ
21	http://www.securityfocus.com/bid/36032	BID
22	http://www.ubuntu.com/usn/USN-1158-1	UBUNTU
23	http://www.vmware.com/security/advisories/VMSA-2009-0016.html	CONFIRM
24	http://www.vupen.com/english/advisories/2009/2263	VUPEN	Vendor Advisory
25	http://www.vupen.com/english/advisories/2009/3316	VUPEN
26	https://exchange.xforce.ibmcloud.com/vulnerabilities/52405	XF
27	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10114	OVAL
28	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A8542	OVAL

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:curl:libcurl:7.4:::::::*
cpe:2.3:a:curl:libcurl:7.4.1:::::::*
cpe:2.3:a:curl:libcurl:7.4.2:::::::*
cpe:2.3:a:curl:libcurl:7.5:::::::*
cpe:2.3:a:curl:libcurl:7.5.1:::::::*
cpe:2.3:a:curl:libcurl:7.5.2:::::::*
cpe:2.3:a:curl:libcurl:7.6:::::::*
cpe:2.3:a:curl:libcurl:7.6.1:::::::*
cpe:2.3:a:curl:libcurl:7.7:::::::*
cpe:2.3:a:curl:libcurl:7.7.1:::::::*
cpe:2.3:a:curl:libcurl:7.7.2:::::::*
cpe:2.3:a:curl:libcurl:7.7.3:::::::*
cpe:2.3:a:curl:libcurl:7.8:::::::*
cpe:2.3:a:curl:libcurl:7.8.1:::::::*
cpe:2.3:a:curl:libcurl:7.9:::::::*
cpe:2.3:a:curl:libcurl:7.9.1:::::::*
cpe:2.3:a:curl:libcurl:7.9.2:::::::*
cpe:2.3:a:curl:libcurl:7.9.3:::::::*
cpe:2.3:a:curl:libcurl:7.9.5:::::::*
cpe:2.3:a:curl:libcurl:7.9.6:::::::*
cpe:2.3:a:curl:libcurl:7.9.7:::::::*
cpe:2.3:a:curl:libcurl:7.9.8:::::::*
cpe:2.3:a:curl:libcurl:7.10:::::::*
cpe:2.3:a:curl:libcurl:7.10.1:::::::*
cpe:2.3:a:curl:libcurl:7.10.2:::::::*
cpe:2.3:a:curl:libcurl:7.10.3:::::::*
cpe:2.3:a:curl:libcurl:7.10.4:::::::*
cpe:2.3:a:curl:libcurl:7.10.5:::::::*
cpe:2.3:a:curl:libcurl:7.10.6:::::::*
cpe:2.3:a:curl:libcurl:7.10.7:::::::*
cpe:2.3:a:curl:libcurl:7.10.8:::::::*
cpe:2.3:a:curl:libcurl:7.11.0:::::::*
cpe:2.3:a:curl:libcurl:7.11.1:::::::*
cpe:2.3:a:curl:libcurl:7.11.2:::::::*
cpe:2.3:a:curl:libcurl:7.12:::::::*
cpe:2.3:a:curl:libcurl:7.12.0:::::::*
cpe:2.3:a:curl:libcurl:7.12.1:::::::*
cpe:2.3:a:curl:libcurl:7.12.2:::::::*
cpe:2.3:a:curl:libcurl:7.12.3:::::::*
cpe:2.3:a:curl:libcurl:7.13:::::::*
cpe:2.3:a:curl:libcurl:7.13.1:::::::*
cpe:2.3:a:curl:libcurl:7.13.2:::::::*
cpe:2.3:a:curl:libcurl:7.14:::::::*
cpe:2.3:a:curl:libcurl:7.14.1:::::::*
cpe:2.3:a:curl:libcurl:7.15:::::::*
cpe:2.3:a:curl:libcurl:7.15.1:::::::*
cpe:2.3:a:curl:libcurl:7.15.2:::::::*
cpe:2.3:a:curl:libcurl:7.15.3:::::::*
cpe:2.3:a:curl:libcurl:7.16.3:::::::*
cpe:2.3:a:curl:libcurl:7.17.0:::::::*
cpe:2.3:a:curl:libcurl:7.17.1:::::::*
cpe:2.3:a:curl:libcurl:7.18.0:::::::*
cpe:2.3:a:curl:libcurl:7.18.1:::::::*
cpe:2.3:a:curl:libcurl:7.18.2:::::::*
cpe:2.3:a:curl:libcurl:7.19.0:::::::*
cpe:2.3:a:curl:libcurl:7.19.1:::::::*
cpe:2.3:a:curl:libcurl:7.19.2:::::::*
cpe:2.3:a:curl:libcurl:7.19.3:::::::*
cpe:2.3:a:curl:libcurl:7.19.4:::::::*
cpe:2.3:a:curl:libcurl:7.19.5:::::::*
cpe:2.3:a:libcurl:libcurl:7.12:::::::*
cpe:2.3:a:libcurl:libcurl:7.12.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.12.2:::::::*
cpe:2.3:a:libcurl:libcurl:7.12.3:::::::*
cpe:2.3:a:libcurl:libcurl:7.13:::::::*
cpe:2.3:a:libcurl:libcurl:7.13.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.13.2:::::::*
cpe:2.3:a:libcurl:libcurl:7.14:::::::*
cpe:2.3:a:libcurl:libcurl:7.14.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.15:::::::*
cpe:2.3:a:libcurl:libcurl:7.15.1:::::::*
cpe:2.3:a:libcurl:libcurl:7.15.2:::::::*
cpe:2.3:a:libcurl:libcurl:7.15.3:::::::*
cpe:2.3:a:libcurl:libcurl:7.16.3:::::::*