NVD Vulnerability Detail

CVE-2014-0363

Summary	The ServerTrustManager component in the Ignite Realtime Smack XMPP API before 4.0.0-rc1 does not verify basicConstraints and nameConstraints in X.509 certificate chains from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate chain.
Publication Date	April 30, 2014, 7:49 p.m.
Registration Date	Jan. 26, 2021, 3:04 p.m.
Last Update	Nov. 21, 2024, 11:01 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:igniterealtime:smack::::::::					4.0.0

Related information, measures and tools

No	URL	タグ
1	http://community.igniterealtime.org/blogs/ignite/2014/04/17/asmack-400-rc1-has-been-released	Vendor Advisory
2	http://community.igniterealtime.org/blogs/ignite/2014/04/17/asmack-400-rc1-has-been-released	Vendor Advisory
3	http://issues.igniterealtime.org/browse/SMACK-410	Issue Tracking Vendor Advisory
4	http://issues.igniterealtime.org/browse/SMACK-410	Issue Tracking Vendor Advisory
5	http://rhn.redhat.com/errata/RHSA-2015-1176.html	Third Party Advisory
6	http://rhn.redhat.com/errata/RHSA-2015-1176.html	Third Party Advisory
7	http://secunia.com/advisories/59290	Third Party Advisory
8	http://secunia.com/advisories/59290	Third Party Advisory
9	http://secunia.com/advisories/59291	Third Party Advisory
10	http://secunia.com/advisories/59291	Third Party Advisory
11	http://www.kb.cert.org/vuls/id/489228	Third Party Advisory US Government Resource
12	http://www.kb.cert.org/vuls/id/489228	Third Party Advisory US Government Resource
13	http://www.securityfocus.com/bid/67119	Third Party Advisory VDB Entry
14	http://www.securityfocus.com/bid/67119	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html

JVN Vulnerability Information

Ignite Realtime Smack XMPP API の ServerTrustManager コンポーネントにおけるサーバになりすまされる脆弱性

Title	Ignite Realtime Smack XMPP API の ServerTrustManager コンポーネントにおけるサーバになりすまされる脆弱性
Summary	Ignite Realtime Smack XMPP API の ServerTrustManager コンポーネントは、SSL サーバからの X.509 証明書チェーン内の basicConstraints および nameConstraints を検証しないため、サーバになりすまされ、重要な情報を取得される脆弱性が存在します補足情報 : CWE による脆弱性タイプは、CWE-358: Improperly Implemented Security Check for Standard (不適切に実装されたセキュリティチェック) と識別されています。 http://cwe.mitre.org/data/definitions/358.html 補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html
Possible impacts	中間者攻撃 (man-in-the-middle attack) により、巧妙に細工された証明書を介して、サーバになりすまされ、重要な情報を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 17, 2014, midnight
Registration Date	May 2, 2014, 2:41 p.m.
Last Update	July 31, 2015, 3:17 p.m.

Affected System

レッドハット

Red Hat JBoss Fuse 6.2.0 未満

Ignite Realtime

Smack API 4.0.0-rc1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-0363	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0363
National Vulnerability Database (NVD)
2	CVE-2014-0363	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0363

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Ignite Realtime
1	Smack API	http://www.igniterealtime.org/projects/smack/
2	SMACK-410	http://issues.igniterealtime.org/browse/SMACK-410
Ignite Realtime Blog
3	(a)Smack 4.0.0-rc1 has been released	http://community.igniterealtime.org/blogs/ignite/2014/04/17/asmack-400-rc1-has-been-released
Red Hat Bugzilla
4	Bug 1093273	https://bugzilla.redhat.com/show_bug.cgi?id=1093273
Red Hat Security Advisory
5	RHSA-2015:1176	https://rhn.redhat.com/errata/RHSA-2015-1176.html

その他

No	Name	URL
JVN
1	JVNVU#93342829	http://jvn.jp/vu/JVNVU93342829/index.html
US-CERT Vulnerability Note
2	VU#489228	http://www.kb.cert.org/vuls/id/489228

Change Log

No	Changed Details	Date of change
0	[2014年05月02日] 掲載 [2015年07月30日] ベンダ情報：レッドハット (RHSA-2015:1176) を追加 [2015年07月31日] 概要：内容を更新影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：レッドハット (Bug 1093273) を追加	Feb. 17, 2018, 10:37 a.m.