| タイトル | 複数の製品で使用される Apache Axis における SSL サーバを偽装される脆弱性 |
|---|---|
| 概要 | 複数の PayPal 製品、Apache ActiveMQ の Java Message Service の実装、および他の製品で使用される Apache Axis は、サーバホスト名と X.509 証明書上の subject の Common Name (CN) または subjectAltName フィールドのドメイン名を照合しないため、SSL サーバを偽装される脆弱性が存在します。 |
| 想定される影響 | 中間者攻撃 (man-in-the-middle attack) により、任意の有効な証明書を介して、SSL サーバを偽装される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2012年11月4日0:00 |
| 登録日 | 2012年11月7日14:26 |
| 最終更新日 | 2016年2月16日17:26 |
| CVSS2.0 : 警告 | |
| スコア | 5.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:N |
| Apache Software Foundation |
| Apache ActiveMQ |
| Apache ActiveMQ |
| Apache Axis 1.4 およびそれ以前 |
| Apache Axis 1.4 およびそれ以前 |
| PayPal |
| PayPal Mass Pay |
| PayPal Mass Pay |
| PayPal Payments Pro |
| PayPal Payments Pro |
| PayPal Transactional Information SOAP |
| PayPal Transactional Information SOAP |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年11月07日] 掲載 [2016年02月16日] ベンダ情報:レッドハット (RHSA-2014:0037) を追加 ベンダ情報:レッドハット (RHSA-2013:0683) を追加 ベンダ情報:レッドハット (RHSA-2013:0269) を追加 |
2018年2月17日10:37 |
| 0 | [2012年11月07日] 掲載 [2016年02月16日] ベンダ情報:レッドハット (RHSA-2014:0037) を追加 ベンダ情報:レッドハット (RHSA-2013:0683) を追加 ベンダ情報:レッドハット (RHSA-2013:0269) を追加 |
2018年2月17日10:37 |
| 概要 | Apache Axis 1.4 and earlier, as used in PayPal Payments Pro, PayPal Mass Pay, PayPal Transactional Information SOAP, the Java Message Service implementation in Apache ActiveMQ, and other products, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate. |
|---|---|
| 公表日 | 2012年11月5日7:55 |
| 登録日 | 2021年1月28日15:06 |
| 最終更新日 | 2024年11月21日10:45 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:axis:1.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:paypal:mass_pay:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:-:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.1:rc2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2:alpha:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.0:beta:*:*:*:*:*:* | |||||
| cpe:2.3:a:paypal:transactional_information_soap:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:paypal:payments_pro:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2:rc2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2:rc3:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:-:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.0:rc2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2:beta2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:-:alpha2:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.1:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:-:alpha1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.1:beta:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:* | 5.7.0 | ||||
| cpe:2.3:a:apache:axis:1.2:beta1:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:-:beta3:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:*:*:*:*:*:*:*:* | 1.4 | ||||
| cpe:2.3:a:apache:axis:-:alpha3:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:apache:axis:1.2:beta3:*:*:*:*:*:* | |||||