JPCERT-WR-2017-4101
2017-10-25
2017-10-15
2017-10-21
Adobe Flash Player に任意のコードが実行可能な脆弱性
Adobe Flash Player には、型の混同 (Type Confusion) の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは次のとおりです。
- Adobe Flash Player デスクトップランタイム 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
この問題は、Adobe Flash Player を Adobe が提供する修正済みのバージョン
に更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ
さい。
Adobe セキュリティ情報
Flash Player 用のセキュリティアップデート公開 | APSB17-32
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-32.html
Japan Vulnerability Notes JVNVU#92489697
Adobe Flash Player に型の混同 (Type Confusion) の脆弱性
https://jvn.jp/vu/JVNVU92489697/
JPCERT/CC Alert 2017-10-17
Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170040.html
2017年10月 Oracle Critical Patch Update について
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。
詳細は、Oracle が提供する情報を参照してください。
JPCERT/CC Alert 2017-10-18
2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2017/at170041.html
Oracle
Oracle Critical Patch Update Advisory - October 2017
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
複数の Cisco 製品に脆弱性
複数の Cisco 製品には、脆弱性があります。結果として、製品にログイン可
能な第三者が任意の操作を実行したり、遠隔の第三者がサービス運用妨害 (DoS)
攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Cisco Cloud Services Platform (CSP) 2100 2.1.0、2.1.1、2.1.2、2.2.0、2.2.1、2.2.2
- AAA サービスを有効にしている Cisco FXOS
- AAA サービスを有効にしている Cisco NX-OS
- Cisco Small Business SPA50x Series IP Phone 7.6.2SR1 およびそれ以前
- Cisco Small Business SPA51x Series IP Phone 7.6.2SR1 およびそれ以前
- Cisco Small Business SPA52x Series IP Phone 7.6.2SR1 およびそれ以前
この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新
することで解決します。詳細は、Cisco が提供する情報を参照してください。
Cisco Security Advisory
Cisco Cloud Services Platform 2100 Unauthorized Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-ccs
Cisco Security Advisory
Cisco FXOS and NX-OS System Software Authentication, Authorization, and Accounting Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-aaavty
Cisco Security Advisory
Cisco Small Business SPA50x, SPA51x, and SPA52x Series IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip1
Cisco Security Advisory
Cisco Small Business SPA51x Series IP Phones SIP Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip
AssetView および AssetView PLATINUM に複数の脆弱性
AssetView および AssetView PLATINUM には、複数の脆弱性があります。結果
として、システムで使われている暗号化鍵を知っているユーザが、クライアン
ト端末に対して任意の操作を実行したり、サーバ上のデータベースに対して任
意の SQL 文を実行したりする可能性があります。
対象となるバージョンは次のとおりです。
- AssetView Ver.7.0.0 から Ver. 9.2.3 まで
- AssetView PLATINUM Ver. 1.1.0 から 6.2.2 まで
この問題は、該当する製品を株式会社ハンモックが提供する修正済みのバージョン
に更新するか、パッチを適用することで解決します。詳細は、株式会社ハンモッ
クが提供する情報を参照してください。
AssetView セキュリティ情報
JVNVU#91625548: AssetView 暗号モジュールに2件の脆弱性
https://www.hammock.jp/assetview/info/171013.html
Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題
Infineon 製 RSA ライブラリには、RSA 鍵ペアを適切に生成しない問題があり
ます。結果として、遠隔の第三者が秘密鍵を取得する可能性があります。
対象となるバージョンは次のとおりです。
- Infineon 製 RSA ライブラリ version 1.02.013
この問題は、Infineon 製 RSA ライブラリを Infineon Technologies が提供
する修正済みのバージョンに更新することで解決します。また、次の回避策を
適用することで、本脆弱性の影響を軽減することが可能です。
- 本件の影響を受けないデバイスで置き換える
- ECC 鍵で置き換えるもしくは別の方法で生成した RSA 鍵を使用する
詳細は、Infineon Technologies が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#95530052
Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題
https://jvn.jp/vu/JVNVU95530052/
Infineon Technologies
TPM update - Infineon Technologies
https://www.infineon.com/cms/en/product/promopages/tpm-update/
ホームユニット KX-HJB1000 に複数の脆弱性
ホームユニット KX-HJB1000 には、複数の脆弱性があります。結果として、当
該製品にアクセス可能な第三者が任意のファイルを削除したり、当該製品にロ
グイン可能なユーザがデータベースの情報を取得したり改ざんしたりするなど
の可能性があります。
対象となるバージョンは次のとおりです。
- ホームユニット KX-HJB1000 ファームウェアバージョン GHX1YG 14.50 およびそれ以前
- ホームユニット KX-HJB1000 ファームウェアバージョン HJB1000_4.47 およびそれ以前
この問題は、ホームユニット KX-HJB1000 のファームウエアをパナソニック株
式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、
パナソニック株式会社が提供する情報を参照してください。
パナソニック株式会社
ホームユニットソフトウェア更新情報
https://jpn.faq.panasonic.com/app/answers/detail/a_id/9190/p/1761,2579,2580
Wi-Fi Protected Access II (WPA2) に関する脆弱性が公開
2017年10月16日 (米国時間)、CERT/CC は WPA2 に関する脆弱性の情報を公開
しました。この一連の脆弱性を報告した研究者によると、WPA2 のハンドシェ
イク中に Nonce およびセッション鍵の再利用を許容してしまう問題があると
のことです。この問題を悪用された場合、第三者が、中間者攻撃によって得た
パケットを復号するなどの可能性があり、研究者からは説明を含めた動画が公
開されています。当該脆弱性の影響を受けるとされる製品は複数存在していま
す。影響を受ける製品の利用者は、開発者からの情報に基づいて、修正済みの
バージョンにアップデートするなど、適切な対応をとることが望まれます。
Japan Vulnerability Notes JVNVU#90609033
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
https://jvn.jp/vu/JVNVU90609033/
情報処理推進機構 (IPA)
WPA2 における複数の脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html
CERT/CC Vulnerability Note VU#228519
Wi-Fi Protected Access (WPA) handshake traffic can be manipulated to induce nonce and session key reuse
https://www.kb.cert.org/vuls/id/228519/
KRACK Attacks: Breaking WPA2
Key Reinstallation Attacks
https://www.krackattacks.com/