NVD脆弱性詳細

CVE-2011-0633

概要	The Net::HTTPS module in libwww-perl (LWP) before 6.00, as used in WWW::Mechanize, LWP::UserAgent, and other products, when running in environments that do not set the If-SSL-Cert-Subject header, does not enable full validation of SSL certificates by default, which allows remote attackers to spoof servers via man-in-the-middle (MITM) attacks involving hostnames that are not properly validated. NOTE: it could be argued that this is a design limitation of the Net::HTTPS API, and separate implementations should be independently assigned CVE identifiers for not working around this limitation. However, because this API was modified within LWP, a single CVE identifier has been assigned.
公表日	2011年5月14日7:55
登録日	2021年1月28日16:37
最終更新日	2024年11月21日10:24

CVSS2.0 : MEDIUM
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:search.cpan:libwww-perl:5.40_01:::::::*
cpe:2.3:a:search.cpan:libwww-perl::::::::		5.837
cpe:2.3:a:gisle_aas:libwww-perl:5.828:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.827:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.826:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.825:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.811:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.810:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.808:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.807:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.74:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.73:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.72:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.71:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_92:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_91:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_90:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.52:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.36:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.35:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.34:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.33:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.15:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.14:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b9:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.836:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.833:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.820:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.819:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.818:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.817:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.802:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.801:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.800:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.79:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.65:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.64:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.63:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.62:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_97:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.47:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.46:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.45:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.44:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.20:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.19:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.07:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.06:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.831:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.829:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.824:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.822:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.815:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.813:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.805:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.803:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.78:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.76:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.69:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.67:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.60:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_96:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_94:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.51:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.49:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.42:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.32:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.30:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.21:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.17:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.08:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b8:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b6:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.834:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.832:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.830:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.823:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.821:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.816:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.814:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.812:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.806:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.804:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.77:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.75:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.70:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.68:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.66:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.61:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_95:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_93:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.50:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.48:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.43:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.41:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.31:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.22:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.16:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.09:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.00:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b7:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b5:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://cpansearch.perl.org/src/GAAS/libwww-perl-6.02/Changes
2	http://vttynotes.blogspot.com/2010/12/man-in-middle-fun-with-perl-lwp.html
3	http://vttynotes.blogspot.com/2011/03/quick-note-on-lwp-and-perl-security-cve.html
4	http://cpansearch.perl.org/src/GAAS/libwww-perl-6.02/Changes
5	http://vttynotes.blogspot.com/2011/03/quick-note-on-lwp-and-perl-security-cve.html
6	http://vttynotes.blogspot.com/2010/12/man-in-middle-fun-with-perl-lwp.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN脆弱性情報

WWW::Mechanize などの製品で使用される LWP の Net::HTTPS モジュールにおけるサーバをなりすまされる脆弱性

タイトル	WWW::Mechanize などの製品で使用される LWP の Net::HTTPS モジュールにおけるサーバをなりすまされる脆弱性
概要	WWW::Mechanize、LWP::UserAgent および他の製品で使用される libwww-perl (LWP) の Net::HTTPS モジュールは、If-SSL-Cert-Subject ヘッダが設定されていない環境で実行される際、デフォルトで SSL 証明書の検証を有効にしないため、サーバをなりすまされる脆弱性が存在します。本問題は、Net::HTTPS API の仕様によるものと考えられ、異なる実装には、この仕様の影響を受けない CVE が割り当てられるべきである。しかしながら、この API は LWP 内で変更されるため、単一 CVE が割り当てられています。
想定される影響	第三者により、適切に検証されていないホスト名を含む中間者攻撃 (MITM attack) を介して、サーバをなりすまされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2011年3月27日0:00
登録日	2012年3月27日18:42
最終更新日	2012年3月27日18:42

影響を受けるシステム

Gisle Aas

libwww-perl 6.00 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-0633	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0633
National Vulnerability Database (NVD)
2	CVE-2011-0633	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-0633

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
search.cpan
1	Release 6.02	http://cpansearch.perl.org/src/GAAS/libwww-perl-6.02/Changes

変更履歴

No	変更内容	変更日
0	[2012年03月27日] 掲載	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:search.cpan:libwww-perl:5.40_01:::::::*
cpe:2.3:a:search.cpan:libwww-perl::::::::		5.837
cpe:2.3:a:gisle_aas:libwww-perl:5.828:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.827:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.826:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.825:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.811:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.810:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.808:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.807:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.74:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.73:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.72:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.71:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_92:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_91:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_90:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.52:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.36:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.35:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.34:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.33:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.15:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.14:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b9:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.836:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.833:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.820:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.819:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.818:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.817:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.802:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.801:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.800:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.79:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.65:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.64:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.63:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.62:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_97:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.47:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.46:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.45:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.44:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.20:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.19:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.07:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.06:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.831:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.829:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.824:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.822:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.815:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.813:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.805:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.803:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.78:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.76:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.69:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.67:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.60:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_96:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_94:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.51:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.49:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.42:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.32:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.30:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.21:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.17:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.08:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b8:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b6:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.834:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.832:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.830:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.823:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.821:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.816:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.814:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.812:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.806:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.804:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.77:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.75:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.70:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.68:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.66:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.61:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_95:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_93:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.50:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.48:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.43:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.41:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.31:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.22:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.16:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.09:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.00:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b7:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b5:::::::*