jakarta-commons-httpclient-3.1-0.9.AXS4

エラータID: AXSA:2014-529:01

リリース日: 
2014/09/15 Monday - 12:53
題名: 
jakarta-commons-httpclient-3.1-0.9.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Apache HttpComponents HttpClient あるいは HttpAsyncClient の org.apache.http.conn.ssl.AbstractVerifier は,サーバのホスト名がサブジェクトのコモンネーム (CN) のドメイン名に X.509 証明書のサブジェクトの代替名のフィールドに一致しているか適切に検証しておらず,証明書の識別名 (DN) のフィールドの "CN=" 文字列によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2014-3577)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2014-3577
org.apache.http.conn.ssl.AbstractVerifier in Apache HttpComponents HttpClient before 4.3.5 and HttpAsyncClient before 4.0.2 does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a "CN=" string in a field in the distinguished name (DN) of a certificate, as demonstrated by the "foo,CN=www.apache.org" string in the O field.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. jakarta-commons-httpclient-3.1-0.9.AXS4.src.rpm
    MD5: a0bf59e6ed70bbb5dca80596e115d78b
    SHA-256: 6ba75562d749b9142d9fac4a50b50fd3e4b8ba6e7b0b65584c2a4611183552a7
    Size: 1.81 MB

Asianux Server 4 for x86
  1. jakarta-commons-httpclient-3.1-0.9.AXS4.i686.rpm
    MD5: 262b638fd7a131009331983d12296ada
    SHA-256: 12e6f3a71f5665af2e9847be3d1fc36a7175c25edbd283f5f04000caaeeb2d1c
    Size: 468.68 kB

Asianux Server 4 for x86_64
  1. jakarta-commons-httpclient-3.1-0.9.AXS4.x86_64.rpm
    MD5: d26b43fda780a82120b3855b8444f82a
    SHA-256: 40eafed41f1fcce56d2c20cec92d333d2809b18ac4a84491b25c8bf0358d629d
    Size: 529.99 kB