axis-1.2.1-7.3.AXS4

エラータID: AXSA:2013-129:01

リリース日: 
2013/03/08 Friday - 14:35
題名: 
axis-1.2.1-7.3.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Apache Axis はサーバのホスト名が X.509 証明書のサブジェクトのコモンネーム (CN) あるいはサブジェクトの別名 (subjectAltName) フィールドのドメイン名に一致しているかを検証しておらず,任意の妥当な証明書によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2012-5784)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-5784
Apache Axis 1.4 and earlier, as used in PayPal Payments Pro, PayPal Mass Pay, PayPal Transactional Information SOAP, the Java Message Service implementation in Apache ActiveMQ, and other products, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. axis-1.2.1-7.3.AXS4.src.rpm
    MD5: cfdc88366935f6e23fba5f81acf76d51
    SHA-256: f24f8bcb35a6da0af5ec8f425c0a7dd40d35e0764cf95dc9c021645531ec30e2
    Size: 10.87 MB

Asianux Server 4 for x86
  1. axis-1.2.1-7.3.AXS4.noarch.rpm
    MD5: 2212298ba98a14af38f3283be3799500
    SHA-256: 6d2f3fc9617ba3238af08526230e49aeb1c77c896f4f046d2b8e6f52d6687d18
    Size: 1.49 MB

Asianux Server 4 for x86_64
  1. axis-1.2.1-7.3.AXS4.noarch.rpm
    MD5: 8625cc79231e8ac35583fc4929cfbe2e
    SHA-256: c2beaa824301a1cc96be7b8375eeac8dd5832c87f7effa4a4db3882e3d1f38a6
    Size: 1.49 MB