jakarta-commons-httpclient-3.1-0.7.AXS4
エラータID: AXSA:2013-313:01
リリース日:
2013/04/03 Wednesday - 12:19
題名:
jakarta-commons-httpclient-3.1-0.7.AXS4
影響のあるチャネル:
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- サーバのホスト名が X.509 証明書のサブジェクトのコモンネーム (CN) あるいはサブジェクトの別名 (subjectAltName) フィールドのドメイン名に一致しているかを検証しておらず,任意の妥当な証明書によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2012-5783)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2012-5783
Apache Commons HttpClient 3.x, as used in Amazon Flexible Payments Service (FPS) merchant Java SDK and other products, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.
Apache Commons HttpClient 3.x, as used in Amazon Flexible Payments Service (FPS) merchant Java SDK and other products, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.
追加情報:
N/A
ダウンロード:
SRPMS
- jakarta-commons-httpclient-3.1-0.7.AXS4.src.rpm
MD5: ea12b7caef20eb3cd3236c22d46787a3
SHA-256: 6cfee05c8ccc26379dd6204b4c31a4fbc93bbc183b87bd047dc51954ff2feae3
Size: 1.80 MB
Asianux Server 4 for x86
- jakarta-commons-httpclient-3.1-0.7.AXS4.i686.rpm
MD5: f51c3b7357bbf4eac9be7eb6b5305b0f
SHA-256: ce4874ec076a25822fa8e0172933cb6a2b5d1ad47547d226112cd9472df2cb0b
Size: 463.84 kB
Asianux Server 4 for x86_64
- jakarta-commons-httpclient-3.1-0.7.AXS4.x86_64.rpm
MD5: e96129ec6ae136fed1c061f924be6a75
SHA-256: c21eee772bdbd2f3683d4490d5c5ddb1a7e53200fc14ea27385fa64faddd44e4
Size: 524.73 kB