| Title | RIM BlackBerry Device Software の Blackberry Browser における任意の SSL サーバになりすまされる脆弱性 |
|---|---|
| Summary | RIM BlackBerry Device Software の Blackberry Browser は、X.509 証明書のサブジェクトの Common Name (CN) フィールド内のドメイン名に '\0' 文字を含む "hidden" 文字を適切に処理しないため、任意の SSL サーバになりすまされる脆弱性が存在します。 本問題は、CVE-2009-2408 と関連する問題です。 |
| Possible impacts | 攻撃者により、巧妙に細工された正規認証局発行の証明書を介して、任意の SSL サーバになりすまされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Sept. 28, 2009, midnight |
| Registration Date | Dec. 22, 2011, 11:59 a.m. |
| Last Update | Dec. 22, 2011, 11:59 a.m. |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| BlackBerry |
| BlackBerry Device Software 4.5.0.173 未満の 4.5.0 |
| BlackBerry Device Software 4.6.0.303 未満の 4.6.0 |
| BlackBerry Device Software 4.6.1.309 未満の 4.6.1 |
| BlackBerry Device Software 4.7.0.179 未満の 4.7.0 |
| BlackBerry Device Software 4.7.1.57 未満の 4.7.1 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2011年12月22日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The Blackberry Browser in RIM BlackBerry Device Software 4.5.0 before 4.5.0.173, 4.6.0 before 4.6.0.303, 4.6.1 before 4.6.1.309, 4.7.0 before 4.7.0.179, and 4.7.1 before 4.7.1.57 does not properly handle "hidden" characters including a '\0' character in a domain name in the subject's Common Name (CN) field of an X.509 certificate, which allows remote man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408. |
|---|---|
| Summary | El Navegador de Blackberry en RIM BlackBerry Device Software v4.5.0 anterior a v4.5.0.173, 4.6.0 anterior a v4.6.0.303, 4.6.1 anterior a v4.6.1.309, 4.7.0 anterior a v4.7.0.179, y 4.7.1 anterior a v4.7.1.57 no maneja apropiadamente caracteres "ocultos" incluyendo un carácter '\0' en un nombre de dominio en el campo nombre común (NC) de un certificado X.509, lo cual permite a atacantes hombre-en-el-medio (man-in-the-middle) remotos suplantar servidores SSL a su elección a través de de un certificado manipulado expedido por una Autoridad de Certificación legítima, un tema relacionado con CVE-2009-2408. |
| Publication Date | Sept. 30, 2009, 8:30 a.m. |
| Registration Date | Jan. 29, 2021, 1:23 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:rim:blackberry_device_software:4.5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:rim:blackberry_device_software:4.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:rim:blackberry_device_software:4.6.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:rim:blackberry_device_software:4.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:rim:blackberry_device_software:4.7.1:*:*:*:*:*:*:* | |||||