公開日:2016/08/01 最終更新日:2016/08/01

JVNVU#93087310
Intel Crosswalk Project に SSL サーバ証明書の検証が行われなくなる脆弱性

概要

Intel Crosswalk Project は、Android および iOS 向けのハイブリッドアプリを開発するためのフレームワークです。Crosswalk Project には、不正な SSL サーバ証明書をユーザが許可した際の処理に問題があり、アプリによるそれ以降の SSL サーバ証明書すべての検証が阻害される可能性があります。

影響を受けるシステム

  • Crosswalk Project 19.49.514.5 (stable) より前のバージョン
  • Crosswalk Project 20.50.533.11 (beta) より前のバージョン
  • Crosswalk Project 21.51.546.0 (beta) より前のバージョン
  • Crosswalk Project 22.51.549.0 (canary) より前のバージョン

詳細情報

安全でない操作であることをユーザに警告しない問題 (CWE-356) - CVE-2016-5672
不正な SSL サーバ証明書が検出されると、Crosswalk Project を使用して作成されたアプリはエラーメッセージを表示します。ユーザがこのエラーメッセージで "OK" を選択すると、当該アプリはそれ以降 SSL サーバ証明書の検証を行わなくなります。エラーメッセージには、アプリが永続的に SSL サーバ証明書を検証しなくなることが明確に記載されておらず、再び同じメッセージが表示されることはありません。

研究者は、さらに詳しい情報をセキュリティアドバイザリとして公開しています。また、Intel Corporation もこの問題についてブログ記事を作成しています。

想定される影響

一度でも不正なサーバ証明書を許可するよう設定すると、他の SSL サーバ証明書すべての検証が行われなくなり、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。

対策方法

Crosswalk Project をアップデートし、アプリをリビルドする
アプリの開発者は、Intel Corporation が提供する情報をもとに対策済みの Crosswalk Project にアップデートし、アプリをリビルドしてください。

ベンダ情報

ベンダ リンク
Intel Corporation Crosswalk Security Vulnerability - Intel Software and Services

参考情報

  1. CERT/CC Vulnerability Note VU#217871
    Intel CrossWalk project does not validate SSL certificates after first acceptance
  2. Nightwatch Cybersecurity
    Advisory: Intel Crosswalk SSL Prompt Issue [CVE 2016-5672]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
基本値: 4.2
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:M/Au:N/C:P/I:P/A:N
基本値: 5.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-5672
JVN iPedia