NVD脆弱性詳細

CVE-2013-6422

概要	The GnuTLS backend in libcurl 7.21.4 through 7.33.0, when disabling digital signature verification (CURLOPT_SSL_VERIFYPEER), also disables the CURLOPT_SSL_VERIFYHOST check for CN or SAN host name fields, which makes it easier for remote attackers to spoof servers and conduct man-in-the-middle (MITM) attacks.
公表日	2013年12月24日7:55
登録日	2021年1月26日15:47
最終更新日	2024年11月21日10:59

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:7.0:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:13.04:::::::*
cpe:2.3:o:canonical:ubuntu_linux:13.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:12.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:12.04:-:lts:::::*

関連情報、対策とツール

No	URL	タグ
1	http://curl.haxx.se/docs/adv_20131217.html	Vendor Advisory
2	http://curl.haxx.se/docs/adv_20131217.html	Vendor Advisory
3	http://www.debian.org/security/2013/dsa-2824
4	http://www.debian.org/security/2013/dsa-2824
5	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
6	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
7	http://www.ubuntu.com/usn/USN-2058-1
8	http://www.ubuntu.com/usn/USN-2058-1
9	https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04463322
10	https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04463322

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN脆弱性情報

libcurl の GnuTLS バックエンドにおけるサーバになりすまされる脆弱性

タイトル	libcurl の GnuTLS バックエンドにおけるサーバになりすまされる脆弱性
概要	libcurl の GnuTLS バックエンドは、デジタル署名の検証 (CURLOPT_SSL_VERIFYPEER) を無効にする場合と同様に、CN または SAN のホスト名フィールドに対する CURLOPT_SSL_VERIFYHOST チェックを無効にするため、サーバになりすまされ、中間者攻撃 (MITM attack) を実行される脆弱性が存在します。
想定される影響	第三者により、サーバになりすまされ、中間者攻撃 (MITM attack) を実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年12月17日0:00
登録日	2013年12月25日15:38
最終更新日	2015年7月29日17:41

影響を受けるシステム

オラクル

Oracle Hyperion Essbase 11.1.2.2

Oracle Hyperion Essbase 11.1.2.3

Canonical

Ubuntu 12.04 LTS

Ubuntu 12.10

Ubuntu 13.04

Ubuntu 13.10

Haxx

libcurl 7.21.4 から 7.33.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-6422	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6422
National Vulnerability Database (NVD)
2	CVE-2013-6422	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6422

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
cURL
1	libcurl cert name check ignore GnuTLS	http://curl.haxx.se/docs/adv_20131217.html
Debian Security Advisory
2	DSA-2824	http://www.debian.org/security/2013/dsa-2824
Oracle Critical Patch Update
3	Oracle Critical Patch Update Advisory - July 2015	http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
4	Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpujul2015verbose-2367947.html
SECURITY BLOG
5	July 2015 Critical Patch Update Released	https://blogs.oracle.com/security/entry/july_2015_critical_patch_update
Ubuntu Security Notice
6	USN-2058-1	http://www.ubuntu.com/usn/USN-2058-1/

変更履歴

No	変更内容	変更日
0	[2013年12月25日] 掲載 [2015年07月29日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加	2018年2月17日10:37