Oracle iPlanet Web Server 7.0.x < 7.0.21 NSS の署名認証の脆弱性

high Nessus プラグイン ID 82995

概要

リモート Web サーバーは、署名偽造脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートホスト上で実行されている Oracle iPlanet Web Server(以前は Sun Java System Web Server として知られていた)は 7.0.21 より前の 7.0.x です。したがって Network Security Services(NSS)ライブラリにある欠陥による影響を受けます。RSA 署名の ASN.1 の値が不適切に解析されるためです。中間者攻撃の攻撃者が、細工された証明書を利用して、これを悪用し、SSL 証明書などの RSA 署名を偽造する可能性があります。

ソリューション

Oracle iPlanet Web Server 7.0.21 または以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?56618dc1

プラグインの詳細

深刻度: High

ID: 82995

ファイル名: sun_java_web_server_7_0_21.nasl

バージョン: 1.12

タイプ: remote

ファミリー: Web Servers

公開日: 2015/4/22

更新日: 2019/11/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2014-1568

脆弱性情報

CPE: cpe:/a:oracle:iplanet_web_server, cpe:/a:mozilla:network_security_services

必要な KB アイテム: installed_sw/Oracle iPlanet Web Server/

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/4/14

脆弱性公開日: 2014/9/24

参照情報

CVE: CVE-2014-1568

BID: 70116

CERT: 772676