JPCERT-WR-2017-4101

JPCERT/CC

2017-10-25

<<< JPCERT/CC WEEKLY REPORT 2017-10-25 >>>

■10/15(日)〜10/21(土) のセキュリティ関連情報

目　次

【1】Adobe Flash Player に任意のコードが実行可能な脆弱性

【2】2017年10月 Oracle Critical Patch Update について

【3】複数の Cisco 製品に脆弱性

【4】AssetView および AssetView PLATINUM に複数の脆弱性

【5】Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題

【6】ホームユニット KX-HJB1000 に複数の脆弱性

【今週のひとくちメモ】Wi-Fi Protected Access II (WPA2) に関する脆弱性が公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2017/wr174101.txt
https://www.jpcert.or.jp/wr/2017/wr174101.xml

【1】Adobe Flash Player に任意のコードが実行可能な脆弱性

情報源

US-CERT Current Activity
Adobe Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/10/16/Adobe-Releases-Security-Updates

概要

Adobe Flash Player には、型の混同 (Type Confusion) の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となるバージョンは次のとおりです。

- Adobe Flash Player デスクトップランタイム 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)

この問題は、Adobe Flash Player を Adobe が提供する修正済みのバージョン
に更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ
さい。

【2】2017年10月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity
Oracle Releases Security Bulletin
https://www.us-cert.gov/ncas/current-activity/2017/10/17/Oracle-Releases-Security-Bulletin

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細は、Oracle が提供する情報を参照してください。

【3】複数の Cisco 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2017/10/18/Cisco-Releases-Security-Updates

概要

複数の Cisco 製品には、脆弱性があります。結果として、製品にログイン可
能な第三者が任意の操作を実行したり、遠隔の第三者がサービス運用妨害 (DoS)
攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは次のとおりです。

- Cisco Cloud Services Platform (CSP) 2100 2.1.0、2.1.1、2.1.2、2.2.0、2.2.1、2.2.2
- AAA サービスを有効にしている Cisco FXOS 
- AAA サービスを有効にしている Cisco NX-OS
- Cisco Small Business SPA50x Series IP Phone 7.6.2SR1 およびそれ以前
- Cisco Small Business SPA51x Series IP Phone 7.6.2SR1 およびそれ以前
- Cisco Small Business SPA52x Series IP Phone 7.6.2SR1 およびそれ以前

この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。

【4】AssetView および AssetView PLATINUM に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#91625548
AssetView および AssetView PLATINUM に複数の脆弱性
https://jvn.jp/vu/JVNVU91625548/

概要

AssetView および AssetView PLATINUM には、複数の脆弱性があります。結果
として、システムで使われている暗号化鍵を知っているユーザが、クライアン
ト端末に対して任意の操作を実行したり、サーバ上のデータベースに対して任
意の SQL 文を実行したりする可能性があります。

対象となるバージョンは次のとおりです。

- AssetView Ver.7.0.0 から Ver. 9.2.3 まで
- AssetView PLATINUM Ver. 1.1.0 から 6.2.2 まで

この問題は、該当する製品を株式会社ハンモックが提供する修正済みのバージョン
に更新するか、パッチを適用することで解決します。詳細は、株式会社ハンモッ
クが提供する情報を参照してください。

【5】Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題

情報源

CERT/CC Vulnerability Note VU#307015
Infineon RSA library does not properly generate RSA key pairs
https://www.kb.cert.org/vuls/id/307015

概要

Infineon 製 RSA ライブラリには、RSA 鍵ペアを適切に生成しない問題があり
ます。結果として、遠隔の第三者が秘密鍵を取得する可能性があります。

対象となるバージョンは次のとおりです。

- Infineon 製 RSA ライブラリ version 1.02.013

この問題は、Infineon 製 RSA ライブラリを Infineon Technologies が提供
する修正済みのバージョンに更新することで解決します。また、次の回避策を
適用することで、本脆弱性の影響を軽減することが可能です。

- 本件の影響を受けないデバイスで置き換える
- ECC 鍵で置き換えるもしくは別の方法で生成した RSA 鍵を使用する

詳細は、Infineon Technologies が提供する情報を参照してください。

【6】ホームユニット KX-HJB1000 に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#54795166
ホームユニット KX-HJB1000 における複数の脆弱性
https://jvn.jp/jp/JVN54795166/

概要

ホームユニット KX-HJB1000 には、複数の脆弱性があります。結果として、当
該製品にアクセス可能な第三者が任意のファイルを削除したり、当該製品にロ
グイン可能なユーザがデータベースの情報を取得したり改ざんしたりするなど
の可能性があります。

対象となるバージョンは次のとおりです。

- ホームユニット KX-HJB1000 ファームウェアバージョン GHX1YG 14.50 およびそれ以前
- ホームユニット KX-HJB1000 ファームウェアバージョン HJB1000_4.47 およびそれ以前

この問題は、ホームユニット KX-HJB1000 のファームウエアをパナソニック株
式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、
パナソニック株式会社が提供する情報を参照してください。

■今週のひとくちメモ

○Wi-Fi Protected Access II (WPA2) に関する脆弱性が公開

2017年10月16日 (米国時間)、CERT/CC は WPA2 に関する脆弱性の情報を公開
しました。この一連の脆弱性を報告した研究者によると、WPA2 のハンドシェ
イク中に Nonce およびセッション鍵の再利用を許容してしまう問題があると
のことです。この問題を悪用された場合、第三者が、中間者攻撃によって得た
パケットを復号するなどの可能性があり、研究者からは説明を含めた動画が公
開されています。当該脆弱性の影響を受けるとされる製品は複数存在していま
す。影響を受ける製品の利用者は、開発者からの情報に基づいて、修正済みの
バージョンにアップデートするなど、適切な対応をとることが望まれます。

参考文献 (日本語)

Japan Vulnerability Notes JVNVU#90609033
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
https://jvn.jp/vu/JVNVU90609033/

情報処理推進機構 (IPA)
WPA2 における複数の脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

参考文献 (英語)

CERT/CC Vulnerability Note VU#228519
Wi-Fi Protected Access (WPA) handshake traffic can be manipulated to induce nonce and session key reuse
https://www.kb.cert.org/vuls/id/228519/

KRACK Attacks: Breaking WPA2
Key Reinstallation Attacks
https://www.krackattacks.com/

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2017-10-25号

<<< JPCERT/CC WEEKLY REPORT 2017-10-25 >>>

■10/15(日)〜10/21(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

○Wi-Fi Protected Access II (WPA2) に関する脆弱性が公開

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次