製品・ソフトウェアに関する情報

JVN脆弱性詳細

PHP の php_openssl_apply_verification_policy 関数における証明書の検証処理に関する脆弱性

Title	PHP の php_openssl_apply_verification_policy 関数における証明書の検証処理に関する脆弱性
Summary	PHP の php_openssl_apply_verification_policy 関数には、証明書を適切に検証しないため、詳細不明な脆弱性が存在します。
Possible impacts	この脆弱性による影響の詳細は不明です。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 16, 2009, midnight
Registration Date	Nov. 5, 2009, 12:04 p.m.
Last Update	Dec. 15, 2010, 12:40 p.m.

CVSS2.0 : 危険
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P

Affected System

レッドハット

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux EUS 5.4.z (server)

RHEL Desktop Workstation 5 (client)

ヒューレット・パッカード

HP-UX 11.11

HP-UX 11.23

HP-UX 11.31

HP-UX Apache-based Web Server v.2.2.15.03 未満

The PHP Group

PHP 5.2.11 未満

ターボリナックス

Turbolinux Appliance Server 2.0

Turbolinux Appliance Server 3.0

Turbolinux Appliance Server 3.0 (x64)

Turbolinux Client 2008

Turbolinux Server 10

Turbolinux Server 10 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X Server v10.5.8

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-3291	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3291
National Vulnerability Database (NVD)
2	CVE-2009-3291	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3291

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT3937	http://support.apple.com/kb/HT3937
Apple セキュリティアップデート
2	HT3937	http://support.apple.com/kb/HT3937?viewlocale=ja_JP
Asianux Technical Support Network
3	php-5.1.6-24.5.1.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=936
Hewlett Packard
4	HPUXWSATW313	https://h20392.www2.hp.com/portal/swdepot/displayProductInfo.do?productNumber=HPUXWSATW313
HP Security Bulletin
5	HPSBUX02543	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c02247738
MIRACLE LINUX アップデート情報
6	2003	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2003
PHP
7	PHP 5 ChangeLog	http://www.php.net/ChangeLog-5.php#5.2.11
8	PHP 5.2.11 Release Announcement	http://www.php.net/releases/5_2_11.php
Red Hat Security Advisory
9	RHSA-2010:0040	https://rhn.redhat.com/errata/RHSA-2010-0040.html
Turbolinux Security Advisory
10	TLSA-2010-35	http://www.turbolinux.co.jp/security/2010/TLSA-2010-35j.txt

その他

No	Name	URL
ISS X-Force Database
1	53334	http://xforce.iss.net/xforce/xfdb/53334
OPEN SOURCE VULNERABILITY DATABASE (OSVDB)
2	58185	http://www.osvdb.org/58185
Secunia Advisory
3	SA36791	http://secunia.com/advisories/36791
SecurityFocus
4	36449	http://www.securityfocus.com/bid/36449
SecurityTracker
5	1022914	http://www.securitytracker.com/id?1022914
VUPEN Security
6	VUPEN/ADV-2009-2699	http://www.vupen.com/english/advisories/2009/2699

Change Log

No	Changed Details	Date of change
0	[2009年11月05日] 掲載 [2009年12月17日] 影響を受けるシステム：アップル (HT3937) の情報を追加ベンダ情報：アップル (HT3937) を追加 [2010年02月04日] 影響を受けるシステム：ミラクル・リナックス (php-5.1.6-24.5.1.AXS3) の情報を追加影響を受けるシステム：ミラクル・リナックス (2003) の情報を追加影響を受けるシステム：レッドハット (RHSA-2010:0040) の情報を追加ベンダ情報：ミラクル・リナックス (php-5.1.6-24.5.1.AXS3) を追加ベンダ情報：ミラクル・リナックス (2003) を追加ベンダ情報：レッドハット (RHSA-2010:0040) を追加 [2010年07月07日] 影響を受けるシステム：ヒューレット・パッカード (HPSBUX02543) の情報を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02543) を追加 [2010年10月19日] 影響を受けるシステム：ターボリナックス (TLSA-2010-35) の情報を追加ベンダ情報：ターボリナックス (TLSA-2010-35) を追加 [2010年12月15日] 影響を受けるシステム：ヒューレット・パッカード (HPUXWSATW313) の情報を追加ベンダ情報：ヒューレット・パッカード (HPUXWSATW313) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-3291

Summary	The php_openssl_apply_verification_policy function in PHP before 5.2.11 does not properly perform certificate validation, which has unknown impact and attack vectors, probably related to an ability to spoof certificates.
Publication Date	Sept. 22, 2009, 7:30 p.m.
Registration Date	Jan. 29, 2021, 1:23 p.m.
Last Update	Oct. 31, 2018, 1:26 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:php:php:1.0:::::::*
cpe:2.3:a:php:php:2.0:::::::*
cpe:2.3:a:php:php:2.0b10:::::::*
cpe:2.3:a:php:php:3.0:::::::*
cpe:2.3:a:php:php:3.0.1:::::::*
cpe:2.3:a:php:php:3.0.2:::::::*
cpe:2.3:a:php:php:3.0.3:::::::*
cpe:2.3:a:php:php:3.0.4:::::::*
cpe:2.3:a:php:php:3.0.5:::::::*
cpe:2.3:a:php:php:3.0.6:::::::*
cpe:2.3:a:php:php:3.0.7:::::::*
cpe:2.3:a:php:php:3.0.8:::::::*
cpe:2.3:a:php:php:3.0.9:::::::*
cpe:2.3:a:php:php:3.0.10:::::::*
cpe:2.3:a:php:php:3.0.11:::::::*
cpe:2.3:a:php:php:3.0.12:::::::*
cpe:2.3:a:php:php:3.0.13:::::::*
cpe:2.3:a:php:php:3.0.14:::::::*
cpe:2.3:a:php:php:3.0.15:::::::*
cpe:2.3:a:php:php:3.0.16:::::::*
cpe:2.3:a:php:php:3.0.17:::::::*
cpe:2.3:a:php:php:3.0.18:::::::*
cpe:2.3:a:php:php:4:::::::*
cpe:2.3:a:php:php:4.0:::::::*
cpe:2.3:a:php:php:4.0:beta1::::::
cpe:2.3:a:php:php:4.0:beta2::::::
cpe:2.3:a:php:php:4.0:beta3::::::
cpe:2.3:a:php:php:4.0:beta4::::::
cpe:2.3:a:php:php:4.0:beta_4_patch1::::::
cpe:2.3:a:php:php:4.0:rc1::::::
cpe:2.3:a:php:php:4.0:rc2::::::
cpe:2.3:a:php:php:4.0.0:::::::*
cpe:2.3:a:php:php:4.0.1:::::::*
cpe:2.3:a:php:php:4.0.1:patch1::::::
cpe:2.3:a:php:php:4.0.1:patch2::::::
cpe:2.3:a:php:php:4.0.2:::::::*
cpe:2.3:a:php:php:4.0.3:::::::*
cpe:2.3:a:php:php:4.0.3:patch1::::::
cpe:2.3:a:php:php:4.0.4:::::::*
cpe:2.3:a:php:php:4.0.4:patch1::::::
cpe:2.3:a:php:php:4.0.5:::::::*
cpe:2.3:a:php:php:4.0.6:::::::*
cpe:2.3:a:php:php:4.0.7:::::::*
cpe:2.3:a:php:php:4.0.7:rc1::::::
cpe:2.3:a:php:php:4.0.7:rc2::::::
cpe:2.3:a:php:php:4.0.7:rc3::::::
cpe:2.3:a:php:php:4.0.7:rc4::::::
cpe:2.3:a:php:php:4.1.0:::::::*
cpe:2.3:a:php:php:4.1.1:::::::*
cpe:2.3:a:php:php:4.1.2:::::::*
cpe:2.3:a:php:php:4.2::dev:::::
cpe:2.3:a:php:php:4.2.0:::::::*
cpe:2.3:a:php:php:4.2.1:::::::*
cpe:2.3:a:php:php:4.2.2:::::::*
cpe:2.3:a:php:php:4.2.3:::::::*
cpe:2.3:a:php:php:4.3.0:::::::*
cpe:2.3:a:php:php:4.3.1:::::::*
cpe:2.3:a:php:php:4.3.2:::::::*
cpe:2.3:a:php:php:4.3.3:::::::*
cpe:2.3:a:php:php:4.3.4:::::::*
cpe:2.3:a:php:php:4.3.5:::::::*
cpe:2.3:a:php:php:4.3.6:::::::*
cpe:2.3:a:php:php:4.3.7:::::::*
cpe:2.3:a:php:php:4.3.8:::::::*
cpe:2.3:a:php:php:4.3.9:::::::*
cpe:2.3:a:php:php:4.3.10:::::::*
cpe:2.3:a:php:php:4.3.11:::::::*
cpe:2.3:a:php:php:4.4.0:::::::*
cpe:2.3:a:php:php:4.4.1:::::::*
cpe:2.3:a:php:php:4.4.2:::::::*
cpe:2.3:a:php:php:4.4.3:::::::*
cpe:2.3:a:php:php:4.4.4:::::::*
cpe:2.3:a:php:php:4.4.5:::::::*
cpe:2.3:a:php:php:4.4.6:::::::*
cpe:2.3:a:php:php:4.4.7:::::::*
cpe:2.3:a:php:php:4.4.8:::::::*
cpe:2.3:a:php:php:4.4.9:::::::*
cpe:2.3:a:php:php:5:::::::*
cpe:2.3:a:php:php:5.0:rc1::::::
cpe:2.3:a:php:php:5.0:rc2::::::
cpe:2.3:a:php:php:5.0:rc3::::::
cpe:2.3:a:php:php:5.0.0:::::::*
cpe:2.3:a:php:php:5.0.0:beta1::::::
cpe:2.3:a:php:php:5.0.0:beta2::::::
cpe:2.3:a:php:php:5.0.0:beta3::::::
cpe:2.3:a:php:php:5.0.0:beta4::::::
cpe:2.3:a:php:php:5.0.0:rc1::::::
cpe:2.3:a:php:php:5.0.0:rc2::::::
cpe:2.3:a:php:php:5.0.0:rc3::::::
cpe:2.3:a:php:php:5.0.1:::::::*
cpe:2.3:a:php:php:5.0.2:::::::*
cpe:2.3:a:php:php:5.0.3:::::::*
cpe:2.3:a:php:php:5.0.4:::::::*
cpe:2.3:a:php:php:5.0.5:::::::*
cpe:2.3:a:php:php:5.1.0:::::::*
cpe:2.3:a:php:php:5.1.1:::::::*
cpe:2.3:a:php:php:5.1.2:::::::*
cpe:2.3:a:php:php:5.1.3:::::::*
cpe:2.3:a:php:php:5.1.4:::::::*
cpe:2.3:a:php:php:5.1.5:::::::*
cpe:2.3:a:php:php:5.1.6:::::::*
cpe:2.3:a:php:php:5.2.0:::::::*
cpe:2.3:a:php:php:5.2.1:::::::*
cpe:2.3:a:php:php:5.2.2:::::::*
cpe:2.3:a:php:php:5.2.3:::::::*
cpe:2.3:a:php:php:5.2.4:::::::*
cpe:2.3:a:php:php:5.2.5:::::::*
cpe:2.3:a:php:php:5.2.6:::::::*
cpe:2.3:a:php:php:5.2.7:::::::*
cpe:2.3:a:php:php:5.2.8:::::::*
cpe:2.3:a:php:php:5.2.9:::::::*
cpe:2.3:a:php:php::::::::		5.2.10

Related information, measures and tools

No	URL	refsource	タグ
1	http://lists.apple.com/archives/security-announce/2009/Nov/msg00000.html	APPLE
2	http://lists.opensuse.org/opensuse-security-announce/2009-10/msg00004.html	SUSE
3	http://marc.info/?l=bugtraq&m=127680701405735&w=2	HP
4	http://marc.info/?l=bugtraq&m=130497311408250&w=2	HP
5	http://secunia.com/advisories/36791	SECUNIA	Vendor Advisory
6	http://secunia.com/advisories/37482	SECUNIA
7	http://secunia.com/advisories/40262	SECUNIA
8	http://support.apple.com/kb/HT3937	CONFIRM
9	http://www.debian.org/security/2009/dsa-1940	DEBIAN
10	http://www.osvdb.org/58185	OSVDB
11	http://www.php.net/ChangeLog-5.php#5.2.11	CONFIRM	Patch Vendor Advisory
12	http://www.php.net/releases/5_2_11.php	CONFIRM	Patch Vendor Advisory
13	http://www.securitytracker.com/id?1022914	SECTRACK
14	http://www.vupen.com/english/advisories/2009/3184	VUPEN
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/53334	XF
16	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10438	OVAL
17	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7394	OVAL

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:php:php:1.0:::::::*
cpe:2.3:a:php:php:2.0:::::::*
cpe:2.3:a:php:php:2.0b10:::::::*
cpe:2.3:a:php:php:3.0:::::::*
cpe:2.3:a:php:php:3.0.1:::::::*
cpe:2.3:a:php:php:3.0.2:::::::*
cpe:2.3:a:php:php:3.0.3:::::::*
cpe:2.3:a:php:php:3.0.4:::::::*
cpe:2.3:a:php:php:3.0.5:::::::*
cpe:2.3:a:php:php:3.0.6:::::::*
cpe:2.3:a:php:php:3.0.7:::::::*
cpe:2.3:a:php:php:3.0.8:::::::*
cpe:2.3:a:php:php:3.0.9:::::::*
cpe:2.3:a:php:php:3.0.10:::::::*
cpe:2.3:a:php:php:3.0.11:::::::*
cpe:2.3:a:php:php:3.0.12:::::::*
cpe:2.3:a:php:php:3.0.13:::::::*
cpe:2.3:a:php:php:3.0.14:::::::*
cpe:2.3:a:php:php:3.0.15:::::::*
cpe:2.3:a:php:php:3.0.16:::::::*
cpe:2.3:a:php:php:3.0.17:::::::*
cpe:2.3:a:php:php:3.0.18:::::::*
cpe:2.3:a:php:php:4:::::::*
cpe:2.3:a:php:php:4.0:::::::*
cpe:2.3:a:php:php:4.0:beta1::::::
cpe:2.3:a:php:php:4.0:beta2::::::
cpe:2.3:a:php:php:4.0:beta3::::::
cpe:2.3:a:php:php:4.0:beta4::::::
cpe:2.3:a:php:php:4.0:beta_4_patch1::::::
cpe:2.3:a:php:php:4.0:rc1::::::
cpe:2.3:a:php:php:4.0:rc2::::::
cpe:2.3:a:php:php:4.0.0:::::::*
cpe:2.3:a:php:php:4.0.1:::::::*
cpe:2.3:a:php:php:4.0.1:patch1::::::
cpe:2.3:a:php:php:4.0.1:patch2::::::
cpe:2.3:a:php:php:4.0.2:::::::*
cpe:2.3:a:php:php:4.0.3:::::::*
cpe:2.3:a:php:php:4.0.3:patch1::::::
cpe:2.3:a:php:php:4.0.4:::::::*
cpe:2.3:a:php:php:4.0.4:patch1::::::
cpe:2.3:a:php:php:4.0.5:::::::*
cpe:2.3:a:php:php:4.0.6:::::::*
cpe:2.3:a:php:php:4.0.7:::::::*
cpe:2.3:a:php:php:4.0.7:rc1::::::
cpe:2.3:a:php:php:4.0.7:rc2::::::
cpe:2.3:a:php:php:4.0.7:rc3::::::
cpe:2.3:a:php:php:4.0.7:rc4::::::
cpe:2.3:a:php:php:4.1.0:::::::*
cpe:2.3:a:php:php:4.1.1:::::::*
cpe:2.3:a:php:php:4.1.2:::::::*
cpe:2.3:a:php:php:4.2::dev:::::
cpe:2.3:a:php:php:4.2.0:::::::*
cpe:2.3:a:php:php:4.2.1:::::::*
cpe:2.3:a:php:php:4.2.2:::::::*
cpe:2.3:a:php:php:4.2.3:::::::*
cpe:2.3:a:php:php:4.3.0:::::::*
cpe:2.3:a:php:php:4.3.1:::::::*
cpe:2.3:a:php:php:4.3.2:::::::*
cpe:2.3:a:php:php:4.3.3:::::::*
cpe:2.3:a:php:php:4.3.4:::::::*
cpe:2.3:a:php:php:4.3.5:::::::*
cpe:2.3:a:php:php:4.3.6:::::::*
cpe:2.3:a:php:php:4.3.7:::::::*
cpe:2.3:a:php:php:4.3.8:::::::*
cpe:2.3:a:php:php:4.3.9:::::::*
cpe:2.3:a:php:php:4.3.10:::::::*
cpe:2.3:a:php:php:4.3.11:::::::*
cpe:2.3:a:php:php:4.4.0:::::::*
cpe:2.3:a:php:php:4.4.1:::::::*
cpe:2.3:a:php:php:4.4.2:::::::*
cpe:2.3:a:php:php:4.4.3:::::::*
cpe:2.3:a:php:php:4.4.4:::::::*
cpe:2.3:a:php:php:4.4.5:::::::*
cpe:2.3:a:php:php:4.4.6:::::::*
cpe:2.3:a:php:php:4.4.7:::::::*
cpe:2.3:a:php:php:4.4.8:::::::*
cpe:2.3:a:php:php:4.4.9:::::::*
cpe:2.3:a:php:php:5:::::::*
cpe:2.3:a:php:php:5.0:rc1::::::
cpe:2.3:a:php:php:5.0:rc2::::::
cpe:2.3:a:php:php:5.0:rc3::::::
cpe:2.3:a:php:php:5.0.0:::::::*
cpe:2.3:a:php:php:5.0.0:beta1::::::
cpe:2.3:a:php:php:5.0.0:beta2::::::
cpe:2.3:a:php:php:5.0.0:beta3::::::
cpe:2.3:a:php:php:5.0.0:beta4::::::
cpe:2.3:a:php:php:5.0.0:rc1::::::
cpe:2.3:a:php:php:5.0.0:rc2::::::
cpe:2.3:a:php:php:5.0.0:rc3::::::
cpe:2.3:a:php:php:5.0.1:::::::*
cpe:2.3:a:php:php:5.0.2:::::::*
cpe:2.3:a:php:php:5.0.3:::::::*
cpe:2.3:a:php:php:5.0.4:::::::*
cpe:2.3:a:php:php:5.0.5:::::::*
cpe:2.3:a:php:php:5.1.0:::::::*
cpe:2.3:a:php:php:5.1.1:::::::*
cpe:2.3:a:php:php:5.1.2:::::::*
cpe:2.3:a:php:php:5.1.3:::::::*
cpe:2.3:a:php:php:5.1.4:::::::*
cpe:2.3:a:php:php:5.1.5:::::::*
cpe:2.3:a:php:php:5.1.6:::::::*
cpe:2.3:a:php:php:5.2.0:::::::*
cpe:2.3:a:php:php:5.2.1:::::::*
cpe:2.3:a:php:php:5.2.2:::::::*
cpe:2.3:a:php:php:5.2.3:::::::*
cpe:2.3:a:php:php:5.2.4:::::::*
cpe:2.3:a:php:php:5.2.5:::::::*
cpe:2.3:a:php:php:5.2.6:::::::*
cpe:2.3:a:php:php:5.2.7:::::::*
cpe:2.3:a:php:php:5.2.8:::::::*
cpe:2.3:a:php:php:5.2.9:::::::*
cpe:2.3:a:php:php::::::::		5.2.10