jakarta-commons-httpclient-3.0-7jpp.4.AXS3

エラータID: AXSA:2014-519:01

リリース日: 
2014/09/12 Friday - 21:07
題名: 
jakarta-commons-httpclient-3.0-7jpp.4.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Apache HttpComponents HttpClient と HttpAsyncClient の org.apache.http.conn.ssl.AbstractVerifier は,サーバのホスト名がサブジェクトのコモンネーム (CN),あるいは X.509 証明書のサブジェクトの代替名のフィールドのドメイン名に一致しているか適切に検証しておらず,証明書の識別名 (DN) のフィールドの "CN=" 文字列によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2014-3577)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2014-3577
org.apache.http.conn.ssl.AbstractVerifier in Apache HttpComponents HttpClient before 4.3.5 and HttpAsyncClient before 4.0.2 does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a "CN=" string in a field in the distinguished name (DN) of a certificate, as demonstrated by the "foo,CN=www.apache.org" string in the O field.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. jakarta-commons-httpclient-3.0-7jpp.4.AXS3.src.rpm
    MD5: f828e60f9b30fe120f888c720e30144b
    SHA-256: b3deca3bf5db1611c13fe83160d62fa3ce3e3778b582e6333271c9457570d57f
    Size: 1.82 MB

Asianux Server 3 for x86
  1. jakarta-commons-httpclient-3.0-7jpp.4.AXS3.i386.rpm
    MD5: feab83390a3e077e92c1fb478cb52d9f
    SHA-256: 9ea663fa8cc05a938be5d40ad3ff36ef9164ce372f811fb70850e6bc0cdb20f6
    Size: 517.31 kB

Asianux Server 3 for x86_64
  1. jakarta-commons-httpclient-3.0-7jpp.4.AXS3.x86_64.rpm
    MD5: 2aa298b3339b6172ce0c685b8fc31fd1
    SHA-256: 5b86940997b5a5c2f7cd662891bc8ac7d9c8218369b4da0673d09a7c86e58b80
    Size: 598.06 kB