製品・ソフトウェアに関する情報

JVN脆弱性詳細

kdelibs の KSSL における任意の SSL サーバになりすまされる脆弱性

Title	kdelibs の KSSL における任意の SSL サーバになりすまされる脆弱性
Summary	kdelibs の KSSL は、X.509 証明書の Subject Alternative Name フィールド内のドメイン名の '\0' 文字を適切に処理しないため、任意の SSL サーバになりすまされる脆弱性が存在します。本問題は、CVE-2009-2408 と関連する問題です。
Possible impacts	攻撃者により、巧妙に細工された証明書の発行を介して、任意の SSL サーバになりすまされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 1, 2009, midnight
Registration Date	Sept. 25, 2012, 5:27 p.m.
Last Update	Sept. 25, 2012, 5:27 p.m.

Affected System

KDE project

kdelibs 3.5.4、4.2.4、および 4.3

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2702	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2702
National Vulnerability Database (NVD)
2	CVE-2009-2702	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2702

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
KDE
1	Bug 520661	https://bugzilla.redhat.com/show_bug.cgi?id=520661

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-2702

Summary	KDE KSSL in kdelibs 3.5.4, 4.2.4, and 4.3 does not properly handle a '\0' character in a domain name in the Subject Alternative Name field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.
Summary	KDE KSSL en kdelibs v3.5.4, v4.2.4, y v4.3 no maneja apropiadamente un carácter '\0' en un nombre de dominio en el campo Nombre de Asunto Alternativo de un certificado X.509, lo que permite a los atacantes "hombre en el medio" suplantar un servidor SLL a través de certificados manipulados emitido por una Autoridad Certificadora legítima, un asunto relativo a CVE-2009-2408.
Publication Date	Sept. 9, 2009, 3:30 a.m.
Registration Date	Jan. 29, 2021, 1:21 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource
1	http://secunia.com/advisories/36468	cve@mitre.org
2	http://www.mandriva.com/security/advisories?name=MDVSA-2009:330	cve@mitre.org
3	http://www.mandriva.com/security/advisories?name=MDVSA-2011:162	cve@mitre.org
4	http://www.vupen.com/english/advisories/2009/2532	cve@mitre.org
5	https://bugzilla.redhat.com/show_bug.cgi?id=520661	cve@mitre.org
6	http://secunia.com/advisories/36468	af854a3a-2127-422b-91ae-364da2661108
7	http://www.mandriva.com/security/advisories?name=MDVSA-2009:330	af854a3a-2127-422b-91ae-364da2661108
8	http://www.mandriva.com/security/advisories?name=MDVSA-2011:162	af854a3a-2127-422b-91ae-364da2661108
9	http://www.vupen.com/english/advisories/2009/2532	af854a3a-2127-422b-91ae-364da2661108
10	https://bugzilla.redhat.com/show_bug.cgi?id=520661	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List