axis-1.2.1-7.5.AXS4

エラータID: AXSA:2014-534:01

リリース日: 
2014/09/17 Wednesday - 13:44
題名: 
axis-1.2.1-7.5.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Apache Axis の getCN 関数は,サーバのホスト名がサブジェクトのコモンネーム (CN) のドメイン名、あるいは X.509 証明書のサブジェクトの代替名のフィールドに一致しているかを適切に検証しておらず,CN フィールドではないフィールドでコモンネームを指定しているサブジェクトを持つ証明書によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2014-3596)
注:この問題は CVE-2012-5784 の不完全な修正によるものです。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2014-3596
The getCN function in Apache Axis 1.4 and earlier does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a certificate with a subject that specifies a common name in a field that is not the CN field. NOTE: this issue exists because of an incomplete fix for CVE-2012-5784.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. axis-1.2.1-7.5.AXS4.src.rpm
    MD5: d538bc9c182c4c6094a225f1cf131935
    SHA-256: 89ac49346c902b5beb0dacf0e272e85b61cfa0d2074938904e10049f30406535
    Size: 10.87 MB

Asianux Server 4 for x86
  1. axis-1.2.1-7.5.AXS4.noarch.rpm
    MD5: 286e7a8de806bc6b3891fcbf0098c9e0
    SHA-256: a728ef0fe5b88c65209fdf881a50b6d69413ba60bc77d133e559051d9cbd8e8d
    Size: 1.50 MB

Asianux Server 4 for x86_64
  1. axis-1.2.1-7.5.AXS4.noarch.rpm
    MD5: 24610175367682345bbc47be780f1c94
    SHA-256: 609fe2c8b7ae8bf9021d6db04468ce37fc02d94e06c133b683bf324a3e8c4cf6
    Size: 1.50 MB