-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0037 JPCERT/CC 2017-09-13 <<< JPCERT/CC Alert 2017-09-13 >>> Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170037.html I. 概要 複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne" に関する情報が、脆弱性の報告者により公開されています。脆弱性を悪用され た場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたり するなどの可能性があります。 Armis The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device https://www.armis.com/blueborne/ 本脆弱性は、複数の OS やデバイスに影響が及ぶとされています。開発者から の情報に基づき、ソフトウエアのアップデートの適用を行うなどの対策を検討 してください。 II. 対象 "BlueBorne" として報告されている一連の脆弱性は、複数の OS やデバイスが 対象となります。報告者からは、影響を受ける対象の OS として次が挙げられ ています。 - Android - セキュリティ パッチ レベル 2017年 9月を適用していない Android (CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785) - Windows - 2017年 9月マイクロソフトセキュリティ更新プログラムを適用してい ない Windows Vista 以降の Windows (CVE-2017-8628) - Linux - Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251) - BlueZ すべてのバージョン (CVE-2017-1000250) - iOS, tvOS - iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前 (CVE-2017-14315) 脆弱性の報告者によれば、iOS について、iOS 10 は、既に対策が施されている とのことです。 脆弱性の影響を受ける製品は、今後拡大する可能性があります。各製品の開発 者からの情報に注意してください。 III. 対策 OS の開発者より、本脆弱性に関する情報が提供されています。開発者からの情 報に注意し、アップデート等の対策を行ってください。 - Android Android Security Bulletin―September 2017 https://source.android.com/security/bulletin/2017-09-01 - Windows CVE-2017-8628 | Microsoft Bluetooth ドライバーのなりすましの脆弱性 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628 - Linux - RedHat Blueborne - Linux Kernel Remote Denial of Service in Bluetooth subsystem - CVE-2017-1000251 https://access.redhat.com/security/vulnerabilities/blueborne CVE-2017-1000250 https://access.redhat.com/security/cve/CVE-2017-1000250 - ubuntu Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel (CVE-2017-1000250, CVE-2017-1000251 aka BlueBorne) https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne IV. 参考情報 Armis The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device https://www.armis.com/blueborne/ CERT/CC Vulnerability Note VU#240311 Multiple Bluetooth implementation vulnerabilities affect many devices https://www.kb.cert.org/vuls/id/240311   US-CERT BlueBorne Bluetooth Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2017/09/12/BlueBorne-Bluetooth-Vulnerabilities JVNVU#95513538 様々な Bluetooth 実装に複数の脆弱性 https://jvn.jp/vu/JVNVU95513538/ 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZuOJ5AAoJEDF9l6Rp7OBI12kH/2mo75VaFmLfrZO0OhHqqfHq 2bKL0+ohD88M09mK98/CQkaj+hB8Nv89lD6pE4MxazFrEZr8or/SwqIN0E74TKON 0jSEbZxqfJKvpcDsduT7P0+Q4EyIgGcGHfCN1fSjQGAg2GEHcn1u/Uugd+pIuLR+ HrwUQbAlh/kqMPPRS0+NnFOqDB1VwDRQwve1lIsCxvvcIGFUaFcZf/k7DvVQKfSq kSupRc/4Ubr8R2VU9FrC6jNI1Kx7z3mFdr3pAYOD1Adi+LhOY3eohljTcMtDZJMK UFKuUGXoZy6GUCztLOSVJvZBvVYxkDn8RZ4VlK9NuVt7FagJG+WVyk3xCc6Mjmw= =nZN7 -----END PGP SIGNATURE-----