| タイトル | POCO C++ Libraries の NetSSL ライブラリにおけるワイルドカード証明書を適切に検証しない脆弱性 |
|---|---|
| 概要 | POCO C++ Libraries の NetSSL ライブラリは、ワイルドカード証明書を適切に検証しない脆弱性が存在します。 POCO C++ Libraries の NetSSL ライブラリは、Poco::Net::X509Certificate::verify() の処理に問題があり、ワイルドカード証明書を適切に検証しません。 |
| 想定される影響 | 第三者によって、DNS スプーフィング攻撃、および SSL/TLS クライアントが信用している認証局 (CA) を最上位とする証明書チェーンを持つサーバ証明書が使われた場合、不適切な証明書にもかかわらず、検証に成功してしまう可能性があります。 |
| 対策 | [アップデートする] ベンダが提供する情報をもとに最新版へアップデートして下さい。 開発者によると、本脆弱性は 1.4.6p4 およびそれ以上のバージョンで修正済みとのことです。 |
| 公表日 | 2014年4月24日0:00 |
| 登録日 | 2014年4月28日12:53 |
| 最終更新日 | 2014年4月28日12:53 |
| CVSS2.0 : 警告 | |
| スコア | 6.4 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:P/A:N |
| Applied Informatics Software Engineering GmbH |
| POCO C++ Libraries poco_c%2B%2B_libraries 1.4.6p2 およびそれ以前 |
| POCO C++ Libraries poco_c%2B%2B_libraries 開発版 1.5.0 から1.5.2 まで |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年04月28日] 掲載 |
2018年2月17日10:37 |
| 概要 | The Poco::Net::X509Certificate::verify method in the NetSSL library in POCO C++ Libraries before 1.4.6p4 allows man-in-the-middle attackers to spoof SSL servers via crafted DNS PTR records that are requested during comparison of a server name to a wildcard domain name in an X.509 certificate. |
|---|---|
| 公表日 | 2014年4月26日10:55 |
| 登録日 | 2021年1月26日15:04 |
| 最終更新日 | 2024年11月21日11:01 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:*:p3:*:*:*:*:*:* | 1.4.6 | ||||
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:p1:*:*:*:*:*:* | |||||
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:-:*:*:*:*:*:* | |||||
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:p2:*:*:*:*:*:* | |||||