製品・ソフトウェアに関する情報
Vulnerability Search
Apache HttpComponents HttpClient および HttpAsyncClient の org.apache.http.conn.ssl.AbstractVerifier における SSL サーバになりすまされる脆弱性
Title Apache HttpComponents HttpClient および HttpAsyncClient の org.apache.http.conn.ssl.AbstractVerifier における SSL サーバになりすまされる脆弱性
Summary

Apache HttpComponents HttpClient および HttpAsyncClient の org.apache.http.conn.ssl.AbstractVerifier は、サーバのホスト名が X.509 証明書のサブジェクトの Common Name (CN) または subjectAltName フィールドのドメイン名と一致することを適切に検証しないため、SSL サーバになりすまされる脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-297: Improper Validation of Certificate with Host Mismatch (ホストの不一致による証明書の不適切な検証) と識別されています。 http://cwe.mitre.org/data/definitions/297.html

Possible impacts 中間者攻撃 (man-in-the-middle attack) により、証明書の識別名 (DN) のフィールド内の "CN=" 文字列を介して、SSL サーバになりすまされる可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Aug. 18, 2014, midnight
Registration Date Aug. 22, 2014, 4:42 p.m.
Last Update Sept. 30, 2016, 9:57 a.m.
CVSS2.0 : 警告
Score 5.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:N
Affected System
Apache Software Foundation
HttpAsyncClient 4.0.2 未満
HttpClient 4.3.5 未満
ヒューレット・パッカード・エンタープライズ
HPE Network Node Manager i 10.00
HPE Network Node Manager i 10.01
HPE Network Node Manager i 9.20
HPE Network Node Manager i 9.23
HPE Network Node Manager i 9.24
HPE Network Node Manager i 9.25
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2014年08月22日]
  掲載
[2015年03月02日]
  ベンダ情報:レッドハット (RHSA-2015:0234) を追加
  ベンダ情報:レッドハット (RHSA-2015:0235) を追加
  ベンダ情報:レッドハット (RHSA-2014:1891) を追加
  ベンダ情報:レッドハット (RHSA-2014:1146) を追加
  ベンダ情報:レッドハット (RHSA-2014:1892) を追加
  ベンダ情報:レッドハット (RHSA-2014:1834) を追加
  ベンダ情報:レッドハット (RHSA-2014:1835) を追加
  ベンダ情報:レッドハット (RHSA-2014:1166) を追加
  ベンダ情報:レッドハット (RHSA-2014:1833) を追加
  ベンダ情報:レッドハット (RHSA-2015:0158) を追加
  ベンダ情報:レッドハット (RHSA-2014:1836) を追加
  ベンダ情報:レッドハット (Do CVE-2012-6153 and CVE-2014-3577 affect Red Hat products?) を追加
[2015年05月11日]
  ベンダ情報:レッドハット (RHSA-2015:0675) を追加
  ベンダ情報:レッドハット (RHSA-2015:0720) を追加
  ベンダ情報:レッドハット (RHSA-2015:0765) を追加
  ベンダ情報:レッドハット (RHSA-2015:0850) を追加
  ベンダ情報:レッドハット (RHSA-2015:0851) を追加
[2015年06月09日]
  ベンダ情報:レッドハット (RHSA-2015:0125) を追加
[2015年07月30日]
  ベンダ情報:レッドハット (RHSA-2015:1176) を追加
[2015年07月31日]
  ベンダ情報:レッドハット (RHSA-2015:1177) を追加
[2016年02月03日]
  ベンダ情報:IBM (1972799) を追加
[2016年09月30日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03584) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-3577
Summary

org.apache.http.conn.ssl.AbstractVerifier in Apache HttpComponents HttpClient before 4.3.5 and HttpAsyncClient before 4.0.2 does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a "CN=" string in a field in the distinguished name (DN) of a certificate, as demonstrated by the "foo,CN=www.apache.org" string in the O field.

Publication Date Aug. 21, 2014, 11:55 p.m.
Registration Date Jan. 26, 2021, 3:10 p.m.
Last Update Nov. 21, 2024, 11:08 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:httpclient:*:*:*:*:*:*:*:* 4.0 4.3.4
Configuration2 or higher or less more than less than
cpe:2.3:a:apache:httpasyncclient:*:*:*:*:*:*:*:* 4.0 4.0.1
Related information, measures and tools
Common Vulnerabilities List