製品・ソフトウェアに関する情報

JVN脆弱性詳細

Amazon FPS merchant Java SDK で使用される Apache Commons HttpClient における SSL サーバを偽装される脆弱性

タイトル	Amazon FPS merchant Java SDK で使用される Apache Commons HttpClient における SSL サーバを偽装される脆弱性
概要	Amazon Flexible Payments Service (FPS) merchant Java SDK および他の製品で使用される Apache Commons HttpClient は、サーバホスト名と X.509 証明書上の subject の Common Name (CN) または subjectAltName フィールドのドメイン名を照合しないため、SSL サーバを偽装される脆弱性が存在します。
想定される影響	中間者攻撃 (man-in-the-middle attack) により、任意の有効な証明書を介して、SSL サーバを偽装される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2012年11月4日0:00
登録日	2012年11月7日14:26
最終更新日	2013年8月27日18:48

CVSS2.0 : 警告
スコア	5.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:N

影響を受けるシステム

Apache Software Foundation

Commons HttpClient 3.x

Amazon.com, Inc.

Flexible Payments Service merchant Java SDK

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-5783	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5783
National Vulnerability Database (NVD)
2	CVE-2012-5783	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5783

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Amazon
1	Amazon Flexible Payments Service	http://aws.amazon.com/fps/
Apache Software Foundation
2	Apache HttpComponents	http://hc.apache.org/
Red Hat Security Advisory
3	RHSA-2013:1147	http://rhn.redhat.com/errata/RHSA-2013-1147.html

その他

No	名前	URL
関連文書
1	The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software	http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf

変更履歴

No	変更内容	変更日
0	[2012年11月07日] 掲載 [2013年08月27日] ベンダ情報：レッドハット (RHSA-2013:1147) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-5783

概要	Apache Commons HttpClient 3.x, as used in Amazon Flexible Payments Service (FPS) merchant Java SDK and other products, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.
公表日	2012年11月5日7:55
登録日	2021年1月28日15:06
最終更新日	2024年11月21日10:45

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:httpclient:3.1:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:15.04:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::esm:::
cpe:2.3:o:canonical:ubuntu_linux:12.04::::-:::

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2013-02/msg00078.html	Broken Link
2	http://lists.opensuse.org/opensuse-updates/2013-02/msg00078.html	Broken Link
3	http://lists.opensuse.org/opensuse-updates/2013-04/msg00040.html	Broken Link
4	http://lists.opensuse.org/opensuse-updates/2013-04/msg00040.html	Broken Link
5	http://lists.opensuse.org/opensuse-updates/2013-04/msg00041.html	Broken Link
6	http://lists.opensuse.org/opensuse-updates/2013-04/msg00041.html	Broken Link
7	http://lists.opensuse.org/opensuse-updates/2013-04/msg00053.html	Broken Link
8	http://lists.opensuse.org/opensuse-updates/2013-04/msg00053.html	Broken Link
9	http://rhn.redhat.com/errata/RHSA-2013-0270.html	Broken Link
10	http://rhn.redhat.com/errata/RHSA-2013-0270.html	Broken Link
11	http://rhn.redhat.com/errata/RHSA-2013-0679.html	Broken Link
12	http://rhn.redhat.com/errata/RHSA-2013-0679.html	Broken Link
13	http://rhn.redhat.com/errata/RHSA-2013-0680.html	Broken Link
14	http://rhn.redhat.com/errata/RHSA-2013-0680.html	Broken Link
15	http://rhn.redhat.com/errata/RHSA-2013-0681.html	Broken Link
16	http://rhn.redhat.com/errata/RHSA-2013-0681.html	Broken Link
17	http://rhn.redhat.com/errata/RHSA-2013-0682.html	Broken Link
18	http://rhn.redhat.com/errata/RHSA-2013-0682.html	Broken Link
19	http://rhn.redhat.com/errata/RHSA-2013-1147.html	Broken Link
20	http://rhn.redhat.com/errata/RHSA-2013-1147.html	Broken Link
21	http://rhn.redhat.com/errata/RHSA-2013-1853.html	Broken Link
22	http://rhn.redhat.com/errata/RHSA-2013-1853.html	Broken Link
23	http://rhn.redhat.com/errata/RHSA-2014-0224.html	Broken Link
24	http://rhn.redhat.com/errata/RHSA-2014-0224.html	Broken Link
25	http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf	Technical Description Third Party Advisory
26	http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf	Technical Description Third Party Advisory
27	http://www.securityfocus.com/bid/58073	Third Party Advisory VDB Entry
28	http://www.securityfocus.com/bid/58073	Third Party Advisory VDB Entry
29	http://www.ubuntu.com/usn/USN-2769-1	Third Party Advisory
30	http://www.ubuntu.com/usn/USN-2769-1	Third Party Advisory
31	https://access.redhat.com/errata/RHSA-2017:0868	Third Party Advisory
32	https://access.redhat.com/errata/RHSA-2017:0868	Third Party Advisory
33	https://exchange.xforce.ibmcloud.com/vulnerabilities/79984	Third Party Advisory VDB Entry
34	https://exchange.xforce.ibmcloud.com/vulnerabilities/79984	Third Party Advisory VDB Entry
35	https://issues.apache.org/jira/browse/HTTPCLIENT-1265	Issue Tracking Patch Vendor Advisory
36	https://issues.apache.org/jira/browse/HTTPCLIENT-1265	Issue Tracking Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html