製品・ソフトウェアに関する情報

JVN脆弱性詳細

PostgreSQL における接続をなりすまされる脆弱性

タイトル	PostgreSQL における接続をなりすまされる脆弱性
概要	PostgreSQL は、SSL 証明書の認証の際、コモンネームを 32 文字で切り捨てるため、ホスト名がちょうど 32 文字である場合に、接続をなりすまされる脆弱性が存在します。
想定される影響	第三者により、ホスト名が 32 文字である場合に、接続をなりすまされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年2月27日0:00
登録日	2012年7月23日11:42
最終更新日	2012年11月14日14:42

影響を受けるシステム

PostgreSQL.org

PostgreSQL 8.4.11 未満の 8.4.x

PostgreSQL 9.0.7 未満の 9.0.x

PostgreSQL 9.1.3 未満の 9.1.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-0867	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0867
National Vulnerability Database (NVD)
2	CVE-2012-0867	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0867

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-16	https://jvndb.jvn.jp/ja/cwe/CWE-16.html

ベンダー情報

No	名前	URL
Debian セキュリティ勧告
1	DSA-2418	http://www.debian.org/security/2012/dsa-2418
opensuse-updates
2	openSUSE-SU-2012:1173	http://lists.opensuse.org/opensuse-updates/2012-09/msg00060.html
PostgreSQL NEWS
3	Security Update 2012-02-27 released	http://www.postgresql.org/about/news/1377/
PostgreSQL Release Notes
4	Release 8.4.11	http://www.postgresql.org/docs/8.4/static/release-8-4-11.html
5	Release 9.0.7	http://www.postgresql.org/docs/9.0/static/release-9-0-7.html
6	Release 9.1.3	http://www.postgresql.org/docs/9.1/static/release-9-1-3.html
Red Hat Security Advisory
7	RHSA-2012:0678	http://rhn.redhat.com/errata/RHSA-2012-0678.html
Security Advisories
8	MDVSA-2012:026	http://www.mandriva.com/en/support/security/advisories/?name=MDVSA-2012:026

変更履歴

No	変更内容	変更日
0	[2012年07月23日] 掲載 [2012年11月14日] ベンダ情報：openSUSE (openSUSE-SU-2012:1173) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-0867

概要	PostgreSQL 8.4.x before 8.4.11, 9.0.x before 9.0.7, and 9.1.x before 9.1.3 truncates the common name to only 32 characters when verifying SSL certificates, which allows remote attackers to spoof connections when the host name is exactly 32 characters.
公表日	2012年7月19日8:55
登録日	2021年1月28日14:54
最終更新日	2024年11月21日10:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:opensuse_project:opensuse:12.2:::::::*

構成4		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:6.0:::::::*

構成5	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.2:::::::*
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.2.z:::::::*
cpe:2.3:o:redhat:enterprise_linux_hpc_node:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:::::::*
cpe:2.3:o:redhat:desktop_workstation:5:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2012-09/msg00060.html	Third Party Advisory
2	http://rhn.redhat.com/errata/RHSA-2012-0678.html	Third Party Advisory
3	http://secunia.com/advisories/49273
4	http://www.debian.org/security/2012/dsa-2418	Third Party Advisory
5	http://www.mandriva.com/security/advisories?name=MDVSA-2012:026	Broken Link
6	http://www.postgresql.org/about/news/1377/	Vendor Advisory
7	http://www.postgresql.org/docs/8.4/static/release-8-4-11.html	Release Notes Vendor Advisory
8	http://www.postgresql.org/docs/9.0/static/release-9-0-7.html	Release Notes Vendor Advisory
9	http://www.postgresql.org/docs/9.1/static/release-9-1-3.html	Release Notes Vendor Advisory
10	http://lists.opensuse.org/opensuse-updates/2012-09/msg00060.html	Third Party Advisory
11	http://www.postgresql.org/docs/9.1/static/release-9-1-3.html	Release Notes Vendor Advisory
12	http://www.postgresql.org/docs/9.0/static/release-9-0-7.html	Release Notes Vendor Advisory
13	http://www.postgresql.org/docs/8.4/static/release-8-4-11.html	Release Notes Vendor Advisory
14	http://www.postgresql.org/about/news/1377/	Vendor Advisory
15	http://www.mandriva.com/security/advisories?name=MDVSA-2012:026	Broken Link
16	http://www.debian.org/security/2012/dsa-2418	Third Party Advisory
17	http://secunia.com/advisories/49273
18	http://rhn.redhat.com/errata/RHSA-2012-0678.html	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html
2	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html

構成5	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.2:::::::*
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.2.z:::::::*
cpe:2.3:o:redhat:enterprise_linux_hpc_node:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:5.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_desktop:5.0:::::::*
cpe:2.3:o:redhat:desktop_workstation:5:::::::*