公開日:2014/04/30 最終更新日:2014/04/30

JVNVU#93342829
Ignite Realtime Smack API に複数の脆弱性

概要

Ignite Realtime が提供する Smack API には、複数の脆弱性が存在します。

影響を受けるシステム

  • Smack API 3.4.1 およびそれ以前

詳細情報

Ignite Realtime が提供する Smack API は、XMPP クライアント用のライブラリです。Smack API には、サーバ証明書を適切に検証しない脆弱性 (CWE-358) および IQ パケットを適切に検証しない脆弱性 (CWE-345) が存在します。

想定される影響

第三者によって中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。例えば、コンタクトリストにエントリを追加されたり、IQ レスポンスを詐称されたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

2014年4月30日現在、本脆弱性を修正した Smack API 4.0.0-rc1 が公開されています。

ベンダ情報

ベンダ リンク
Ignite Realtime Smack API
Ignite Realtime Blog: (a)Smack 4.0.0-rc1 has been released

参考情報

  1. CERT/CC Vulnerability Note VU#489228
    Ignite Realtime Smack XMPP API contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-0363
CVE-2014-0364
JVN iPedia