-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-0502 JPCERT/CC 2017-02-08 <<< JPCERT/CC WEEKLY REPORT 2017-02-08 >>> ―――――――――――――――――――――――――――――――――――――― ■01/29(日)〜02/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Windows の SMB パケットの処理にメモリ破損の脆弱性 【2】Cisco Prime Home に認証回避の脆弱性 【3】VMware Airwatch に複数の脆弱性 【4】Android アプリ「LaLa Call」および「ビジネスLaLa Call」に SSL サーバ証明書の検証不備の脆弱性 【今週のひとくちメモ】IPA が「情報セキュリティ10大脅威 2017」の順位を発表 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr170502.html https://www.jpcert.or.jp/wr/2017/wr170502.xml ============================================================================ 【1】Microsoft Windows の SMB パケットの処理にメモリ破損の脆弱性 情報源 US-CERT Current Activity CERT/CC Reports a Microsoft SMB Vulnerability https://www.us-cert.gov/ncas/current-activity/2017/02/03/CERTCC-Reports-Microsoft-SMB-Vulnerability 概要 Microsoft Windows の SMB Tree Connect Response パケットの処理には、メ モリ破損の脆弱性があります。結果として、遠隔の第三者が、悪意のある SMB サーバに接続させることで、サービス運用妨害 (DoS) 攻撃を行う可能性があ ります。 対象となるバージョンは以下の通りです。 - Microsoft Windows 8.1 - Microsoft Windows 10 2017年2月7日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - LAN から外部への SMB 接続をブロックする (宛先ポート 137/udp, 138/udp, 139/tcp, 445/tcp) 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95841181 Microsoft Windows の SMB Tree Connect Response パケットの処理にメモリ破損の脆弱性 https://jvn.jp/vu/JVNVU95841181/ 【2】Cisco Prime Home に認証回避の脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/02/01/Cisco-Releases-Security-Updates 概要 Cisco Prime Home には、認証回避の脆弱性があります。結果として、遠隔の 第三者が細工した HTTP リクエストを送信することで、当該製品の管理者権限 で任意の操作を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Prime Home 6.5.0.1 より前のバージョンの 6 系 この問題は、Cisco Prime Home を Cisco が提供する修正済みのバージョンに 更新することで解決します。詳細は、Cisco が提供する情報を参照してくださ い。 関連文書 (英語) Cisco Cisco Prime Home Authentication Bypass Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-prime-home 【3】VMware Airwatch に複数の脆弱性 情報源 US-CERT Current Activity VMware Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/01/31/VMware-Releases-Security-Updates 概要 VMware Airwatch には、複数の脆弱性があります。結果として、攻撃者が、セ キュリティ制御を回避したり、情報を取得したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware Airwatch Agent 7.0 より前のバージョン (Android 版) - VMware Airwatch Console 9.0 FP1 より前のバージョン (Android 版) - VMware Airwatch Inbox 2.12 より前のバージョン (Android 版) この問題は、VMware Airwatch を VMware が提供する修正済みのバージョンに 更新し、PBE (Pin-Based Encryption) を有効化することで解決します (デフォ ルトでは、PBE は無効化されています)。 詳細は、VMware が提供する情報を 参照してください。 関連文書 (英語) VMware Security Advisories VMSA-2017-0001 https://www.vmware.com/security/advisories/VMSA-2017-0001.html 【4】Android アプリ「LaLa Call」および「ビジネスLaLa Call」に SSL サーバ証明書の検証不備の脆弱性 情報源 Japan Vulnerability Notes JVN#01014759 Android アプリ「LaLa Call」における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN01014759/ Japan Vulnerability Notes JVN#21114208 Android アプリ「ビジネスLaLa Call」における SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN21114208/ 概要 Android アプリ「LaLa Call」および「ビジネスLaLa Call」には、SSL サーバ 証明書の検証不備の脆弱性があります。結果として、遠隔の第三者が、中間者 攻撃によって暗号通信を盗聴するなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Android アプリ「LaLa Call」 ver2.4.7 およびそれ以前 - Android アプリ「ビジネスLaLa Call」 ver1.4.7 およびそれ以前 この問題は、Android アプリ「LaLa Call」および「ビジネスLaLa Call」を株 式会社ケイ・オプティコムが提供する修正済みのバージョンに更新することで 解決します。詳細は、株式会社ケイ・オプティコムが提供する情報を参照して ください。 関連文書 (日本語) LaLa Call Android版アプリにおけるSSLサーバー証明書の脆弱性と修正完了のお知らせ https://support.lalacall.jp/news/510/ LaLa Call Android版ビジネスLaLaCallにおけるアップデートのお願いについて https://business.lalacall.jp/support/news/511/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○IPA が「情報セキュリティ10大脅威 2017」の順位を発表 2017年1月31日、情報処理推進機構 (IPA) は、「情報セキュリティ10大脅威 2017」の順位を発表しました。これは、昨年発生した情報セキュリティ関連の 事件・事故の中から、社会に与えた影響の大きさを考慮して選ばれたものです。 個人に対する脅威としては「インターネットバンキングやクレジットカード情 報の不正利用」、組織に対する脅威としては「標的型攻撃による情報流出」が それぞれ 1位に選ばれているほか、IoT 機器に関連する脅威も選出されていま す。なお、これらの脅威についての解説資料は、3月に公開予定とのことです。 参考文献 (日本語) 情報処理推進機構 (IPA) 情報セキュリティ10大脅威 2017 https://www.ipa.go.jp/security/vuln/10threats2017.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYripjAAoJEDF9l6Rp7OBIWSAH+wQ6lX1Y0JRlrqIH/t4UFYZU jg8wjgGOdQcnGx+2L5wwL66yKBjUCbDN1m2RnwxwCIwXYgmEcS8bxf6JMozbJSDv X7G1J3ZkDzCsJ8YGwEecYkm2tzyOqhMXxnyBekNFFldJaIZqPRDSvNRfAIMQA/ia FHgZJ3SRsDWj/7SbBv0cMj03THoQXrV2r7BUoojAUolQ3aOMYYg7NFg6eVaZ9dSG i9Bwvr1JNyQqYM5UvR7k/pKz1UO3PyzKibQgtZn6B5wFJX9bvOyL+PMdysueuggr 5vdKtxA963LtL0dQs2ihVDJned8a9sAnYy7h4YR3nsc+Wo7eBmvB/nV1viWphF0= =gmoc -----END PGP SIGNATURE-----