製品・ソフトウェアに関する情報
Vulnerability Search
Intel Crosswalk Project に SSL サーバ証明書の検証が行われなくなる脆弱性
Title Intel Crosswalk Project に SSL サーバ証明書の検証が行われなくなる脆弱性
Summary

Intel Crosswalk Project は、Android および iOS 向けのハイブリッドアプリを開発するためのフレームワークです。Crosswalk Project には、不正な SSL サーバ証明書をユーザが許可した際の処理に問題があり、アプリによるそれ以降の SSL サーバ証明書すべての検証が阻害される可能性があります。 安全でない操作であることをユーザに警告しない問題 (CWE-356) - CVE-2016-5672 不正な SSL サーバ証明書が検出されると、Crosswalk Project を使用して作成されたアプリはエラーメッセージを表示します。ユーザがこのエラーメッセージで "OK" を選択すると、当該アプリはそれ以降 SSL サーバ証明書の検証を行わなくなります。エラーメッセージには、アプリが永続的に SSL サーバ証明書を検証しなくなることが明確に記載されておらず、再び同じメッセージが表示されることはありません。 CWE-356: Product UI does not Warn User of Unsafe Actions http://cwe.mitre.org/data/definitions/356.html 研究者は、さらに詳しい情報をセキュリティアドバイザリとして公開しています。また、Intel Corporation もこの問題についてブログ記事を作成しています。 セキュリティアドバイザリ https://wwws.nightwatchcybersecurity.com/2016/07/29/advisory-intel-crosswalk-ssl-prompt-issue/ ブログ記事 http://blogs.intel.com/evangelists/2016/07/28/crosswalk-security-vulnerability/

Possible impacts 一度でも不正なサーバ証明書を許可するよう設定すると、他の SSL サーバ証明書すべての検証が行われなくなり、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。
Solution

[Crosswalk Project をアップデートし、アプリをリビルドする] アプリの開発者は、Intel Corporation が提供する情報をもとに対策済みの Crosswalk Project にアップデートし、アプリをリビルドしてください。
Publication Date July 29, 2016, midnight
Registration Date Aug. 2, 2016, 10:54 a.m.
Last Update Aug. 5, 2016, 5:29 p.m.
CVSS3.0 : 重要
Score 8.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
CVSS2.0 : 警告
Score 5.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:N
Affected System
インテル
Crosswalk Project 19.49.514.5 (stable) より前のバージョン
Crosswalk Project 20.50.533.11 (beta) より前のバージョン
Crosswalk Project 21.51.546.0 (beta) より前のバージョン
Crosswalk Project 22.51.549.0 (canary) より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2016年08月02日]
  掲載
[2016年08月05日]
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2016-5672) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2016-5672
Summary

Intel Crosswalk before 19.49.514.5, 20.x before 20.50.533.11, 21.x before 21.51.546.0, and 22.x before 22.51.549.0 interprets a user's acceptance of one invalid X.509 certificate to mean that all invalid X.509 certificates should be accepted without prompting, which makes it easier for man-in-the-middle attackers to spoof SSL servers and obtain sensitive information via a crafted certificate.

Publication Date Aug. 1, 2016, 11:59 a.m.
Registration Date Jan. 26, 2021, 2:14 p.m.
Last Update Nov. 21, 2024, 11:54 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:intel:crosswalk:*:*:*:*:*:*:*:* 19.49.514.4
Related information, measures and tools
Common Vulnerabilities List