<<< JPCERT/CC WEEKLY REPORT 2017-02-08 >>>

■01/29(日)〜02/04(土) のセキュリティ関連情報

目　次

【1】Microsoft Windows の SMB パケットの処理にメモリ破損の脆弱性

【2】Cisco Prime Home に認証回避の脆弱性

【3】VMware Airwatch に複数の脆弱性

【4】Android アプリ「ビジネスLaLa Call」および「LaLa Call」に SSL サーバ証明書の検証不備の脆弱性

【今週のひとくちメモ】IPA が「情報セキュリティ10大脅威 2017」を発表

【1】Microsoft Windows の SMB パケットの処理にメモリ破損の脆弱性

情報源

US-CERT Current Activity
CERT/CC Reports a Microsoft SMB Vulnerability
https://www.us-cert.gov/ncas/current-activity/2017/02/03/CERTCC-Reports-Microsoft-SMB-Vulnerability

概要

Microsoft Windows の SMB Tree Connect Response パケットの処理には、メモ
リ破損の脆弱性があります。結果として、遠隔の第三者が、悪意のある SMB サー
バに接続させることで、任意のコードを実行したり、サービス運用妨害 (DoS)
攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Microsoft Windows 8.1
- Microsoft Windows 10

2017年2月8日現在、対策済みのバージョンは公開されていません。以下の回避
策を適用することで、本脆弱性の影響を軽減することが可能です。

- LAN から外部への SMB 接続をブロックする (宛先ポート 137/udp, 138/udp, 139/tcp, 445/tcp)
          

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95841181
Microsoft Windows の SMB Tree Connect Response パケットの処理にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU95841181/

【2】Cisco Prime Home に認証回避の脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/02/01/Cisco-Releases-Security-Updates

概要

Cisco Prime Home には、認証回避の脆弱性があります。結果として、遠隔の第
三者が細工した HTTP リクエストを送信することで、当該製品の管理者権限で
任意の操作を行う可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Prime Home 6.5.0.1 より前のバージョンの 6 系

この問題は、Cisco Prime Home を、Cisco が提供する修正済みのバージョンに
更新することで解決します。詳細は、Cisco が提供する情報を参照してくださ
い。
          

関連文書 (英語)

Cisco
Cisco Prime Home Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-prime-home

【3】VMware Airwatch に複数の脆弱性

情報源

US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/01/31/VMware-Releases-Security-Updates

概要

VMware Airwatch には、複数の脆弱性があります。結果として、攻撃者が、セ
キュリティ制御をバイパスしたり、情報を取得したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- VMware Airwatch Agent 7.0 より前のバージョン (Android 版)
- VMware Airwatch Console 9.0 FP1 より前のバージョン (Android 版)
- VMware Airwatch Inbox 2.12 より前のバージョン (Android 版)

この問題は、VMware Airwatch を、VMware が提供する修正済みのバージョンに
更新することで解決します。詳細は、VMware が提供する情報を参照してくださ
い。
          

関連文書 (英語)

VMware Security Advisories
VMSA-2017-0001
https://www.vmware.com/security/advisories/VMSA-2017-0001.html

【4】Android アプリ「ビジネスLaLa Call」および「LaLa Call」に SSL サーバ証明書の検証不備の脆弱性

情報源

Japan Vulnerability Notes JVN#21114208
Android アプリ「ビジネスLaLa Call」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN21114208/

Japan Vulnerability Notes JVN#01014759
Android アプリ「LaLa Call」における SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN01014759/

概要

Android アプリ「ビジネスLaLa Call」および「LaLa Call」には、SSL サーバ
証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者
攻撃によって暗号通信を盗聴するなどの可能性があります。

対象となるバージョンは以下の通りです。

- Android アプリ「ビジネスLaLa Call」 ver1.4.7 およびそれ以前
- Android アプリ「LaLa Call」 ver2.4.7 およびそれ以前

この問題は、Android アプリ「ビジネスLaLa Call」および「LaLa Call」を、
株式会社ケイ・オプティコムが提供する修正済みのバージョンに更新すること
で解決します。詳細は、株式会社ケイ・オプティコムが提供する情報を参照し
てください。
          

関連文書 (日本語)

LaLa Call
Android版ビジネスLaLaCallにおけるアップデートのお願いについて
https://business.lalacall.jp/support/news/511/

LaLa Call
Android版アプリにおけるSSLサーバー証明書の脆弱性と修正完了のお知らせ
https://support.lalacall.jp/news/510/

■今週のひとくちメモ

○IPA が「情報セキュリティ10大脅威 2017」を発表

2017年1月31日、情報処理推進機構 (IPA) は、「情報セキュリティ10大脅威 2017」
の順位を発表しました。これは、昨年発生した情報セキュリティ関連の事件・
事故の中から、社会に与えた影響の大きさを考慮して選ばれたものです。個人
に対する脅威としては「インターネットバンキングやクレジットカード情報の
不正利用」、組織に対する脅威としては「標的型攻撃による情報流出」が、そ
れぞれ1位に選ばれているほか、IoT 機器に関連する脅威も選出されています。
なお、これらの脅威についての解説資料は、3月に公開予定とのことです。
          

参考文献 (日本語)

情報処理推進機構 (IPA)
情報セキュリティ10大脅威 2017
https://www.ipa.go.jp/security/vuln/10threats2017.html

■JPCERT/CC からのお願い