axis-1.2.1-2jpp.7.AXS3

エラータID: AXSA:2013-312:01

リリース日: 
2013/04/03 Wednesday - 10:29
題名: 
axis-1.2.1-2jpp.7.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Apache Axis はサーバのホスト名が X.509 証明書のサブジェクトのコモンネーム (CN) あるいはサブジェクトの別名 (subjectAltName) フィールドのドメイン名に一致しているかを検証しておらず,任意の妥当な証明書によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2012-5784)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-5784
Apache Axis 1.4 and earlier, as used in PayPal Payments Pro, PayPal Mass Pay, PayPal Transactional Information SOAP, the Java Message Service implementation in Apache ActiveMQ, and other products, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. axis-1.2.1-2jpp.7.AXS3.src.rpm
    MD5: db2b2885c4c1ad7caff713ea31ebb0db
    SHA-256: 57d310bc1f74e7460878cdcf056a8546678a4e4460af1a43e5f71b6b27ef4242
    Size: 3.60 MB