axis-1.2.1-2jpp.8.AXS3

エラータID: AXSA:2014-536:01

リリース日: 
2014/09/18 Thursday - 13:54
題名: 
axis-1.2.1-2jpp.8.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Apache Axis の getCN 関数は,サーバのホスト名がサブジェクトのコモンネーム (CN) のドメイン名、あるいは X.509 証明書のサブジェクトの代替名のフィールドに一致しているかを適切に検証しておらず,CN フィールドではないフィールドでコモンネームを指定しているサブジェクトを持つ証明書によって,中間者攻撃を行う攻撃者が SSL サーバになりすます脆弱性があります。(CVE-2014-3596)
注:この問題は CVE-2012-5784 の不完全な修正によるものです。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2014-3596
The getCN function in Apache Axis 1.4 and earlier does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a certificate with a subject that specifies a common name in a field that is not the CN field. NOTE: this issue exists because of an incomplete fix for CVE-2012-5784.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. axis-1.2.1-2jpp.8.AXS3.src.rpm
    MD5: 2706564854a1ef22e9798a3a11aaf285
    SHA-256: e7c8f518e6567378430acefc4a0f0a8d3ee309f22fffd617ec84ff5436bd60d3
    Size: 3.60 MB

Asianux Server 3 for x86
  1. axis-1.2.1-2jpp.8.AXS3.i386.rpm
    MD5: ca15d6e6bc82b94ada250656eaf67cd9
    SHA-256: fb420b6d22e3de7de15e2b4bf175049e2f37ec4c2f4b0fca50ffa6e56df08721
    Size: 3.11 MB

Asianux Server 3 for x86_64
  1. axis-1.2.1-2jpp.8.AXS3.x86_64.rpm
    MD5: 4eb6104ddbd569d19205357a063185a5
    SHA-256: 2646418352acf1ffc52818d01174ed005958ffa8c3f415ab4a692b4e3d4dafd3
    Size: 3.56 MB