製品・ソフトウェアに関する情報
Vulnerability Search
POCO C++ Libraries の NetSSL ライブラリにおけるワイルドカード証明書を適切に検証しない脆弱性
Title POCO C++ Libraries の NetSSL ライブラリにおけるワイルドカード証明書を適切に検証しない脆弱性
Summary

POCO C++ Libraries の NetSSL ライブラリは、ワイルドカード証明書を適切に検証しない脆弱性が存在します。 POCO C++ Libraries の NetSSL ライブラリは、Poco::Net::X509Certificate::verify() の処理に問題があり、ワイルドカード証明書を適切に検証しません。

Possible impacts 第三者によって、DNS スプーフィング攻撃、および SSL/TLS クライアントが信用している認証局 (CA) を最上位とする証明書チェーンを持つサーバ証明書が使われた場合、不適切な証明書にもかかわらず、検証に成功してしまう可能性があります。
Solution

[アップデートする] ベンダが提供する情報をもとに最新版へアップデートして下さい。 開発者によると、本脆弱性は 1.4.6p4 およびそれ以上のバージョンで修正済みとのことです。
Publication Date April 24, 2014, midnight
Registration Date April 28, 2014, 12:53 p.m.
Last Update April 28, 2014, 12:53 p.m.
CVSS2.0 : 警告
Score 6.4
Vector AV:N/AC:L/Au:N/C:P/I:P/A:N
Affected System
Applied Informatics Software Engineering GmbH
POCO C++ Libraries poco_c%2B%2B_libraries 1.4.6p2 およびそれ以前
POCO C++ Libraries poco_c%2B%2B_libraries 開発版 1.5.0 から1.5.2 まで
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年04月28日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-0350
Summary

The Poco::Net::X509Certificate::verify method in the NetSSL library in POCO C++ Libraries before 1.4.6p4 allows man-in-the-middle attackers to spoof SSL servers via crafted DNS PTR records that are requested during comparison of a server name to a wildcard domain name in an X.509 certificate.

Publication Date April 26, 2014, 10:55 a.m.
Registration Date Jan. 26, 2021, 3:04 p.m.
Last Update Nov. 21, 2024, 11:01 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pocoproject:poco_c\+\+_libraries:*:p3:*:*:*:*:*:* 1.4.6
cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.5:*:*:*:*:*:*:*
cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:p1:*:*:*:*:*:*
cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:-:*:*:*:*:*:*
cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:p2:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List