-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-4101 JPCERT/CC 2017-10-25 <<< JPCERT/CC WEEKLY REPORT 2017-10-25 >>> ―――――――――――――――――――――――――――――――――――――― ■10/15(日)〜10/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に任意のコードが実行可能な脆弱性 【2】2017年10月 Oracle Critical Patch Update について 【3】複数の Cisco 製品に脆弱性 【4】AssetView および AssetView PLATINUM に複数の脆弱性 【5】Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題 【6】ホームユニット KX-HJB1000 に複数の脆弱性 【今週のひとくちメモ】Wi-Fi Protected Access II (WPA2) に関する脆弱性が公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr174101.html https://www.jpcert.or.jp/wr/2017/wr174101.xml ============================================================================ 【1】Adobe Flash Player に任意のコードが実行可能な脆弱性 情報源 US-CERT Current Activity Adobe Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/10/16/Adobe-Releases-Security-Updates 概要 Adobe Flash Player には、型の混同 (Type Confusion) の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Adobe Flash Player デスクトップランタイム 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版) この問題は、Adobe Flash Player を Adobe が提供する修正済みのバージョン に更新することで解決します。詳細は、Adobe が提供する情報を参照してくだ さい。 関連文書 (日本語) Adobe セキュリティ情報 Flash Player 用のセキュリティアップデート公開 | APSB17-32 https://helpx.adobe.com/jp/security/products/flash-player/apsb17-32.html Japan Vulnerability Notes JVNVU#92489697 Adobe Flash Player に型の混同 (Type Confusion) の脆弱性 https://jvn.jp/vu/JVNVU92489697/ JPCERT/CC Alert 2017-10-17 Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170040.html 【2】2017年10月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Oracle Releases Security Bulletin https://www.us-cert.gov/ncas/current-activity/2017/10/17/Oracle-Releases-Security-Bulletin 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細は、Oracle が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Alert 2017-10-18 2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2017/at170041.html 関連文書 (英語) Oracle Oracle Critical Patch Update Advisory - October 2017 http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html 【3】複数の Cisco 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Security Updates https://www.us-cert.gov/ncas/current-activity/2017/10/18/Cisco-Releases-Security-Updates 概要 複数の Cisco 製品には、脆弱性があります。結果として、製品にログイン可 能な第三者が任意の操作を実行したり、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは次のとおりです。 - Cisco Cloud Services Platform (CSP) 2100 2.1.0、2.1.1、2.1.2、2.2.0、2.2.1、2.2.2 - AAA サービスを有効にしている Cisco FXOS - AAA サービスを有効にしている Cisco NX-OS - Cisco Small Business SPA50x Series IP Phone 7.6.2SR1 およびそれ以前 - Cisco Small Business SPA51x Series IP Phone 7.6.2SR1 およびそれ以前 - Cisco Small Business SPA52x Series IP Phone 7.6.2SR1 およびそれ以前 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory Cisco Cloud Services Platform 2100 Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-ccs Cisco Security Advisory Cisco FXOS and NX-OS System Software Authentication, Authorization, and Accounting Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-aaavty Cisco Security Advisory Cisco Small Business SPA50x, SPA51x, and SPA52x Series IP Phones SIP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip1 Cisco Security Advisory Cisco Small Business SPA51x Series IP Phones SIP Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-sip 【4】AssetView および AssetView PLATINUM に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#91625548 AssetView および AssetView PLATINUM に複数の脆弱性 https://jvn.jp/vu/JVNVU91625548/ 概要 AssetView および AssetView PLATINUM には、複数の脆弱性があります。結果 として、システムで使われている暗号化鍵を知っているユーザが、クライアン ト端末に対して任意の操作を実行したり、サーバ上のデータベースに対して任 意の SQL 文を実行したりする可能性があります。 対象となるバージョンは次のとおりです。 - AssetView Ver.7.0.0 から Ver. 9.2.3 まで - AssetView PLATINUM Ver. 1.1.0 から 6.2.2 まで この問題は、該当する製品を株式会社ハンモックが提供する修正済みのバージョン に更新するか、パッチを適用することで解決します。詳細は、株式会社ハンモッ クが提供する情報を参照してください。 関連文書 (日本語) AssetView セキュリティ情報 JVNVU#91625548: AssetView 暗号モジュールに2件の脆弱性 https://www.hammock.jp/assetview/info/171013.html 【5】Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題 情報源 CERT/CC Vulnerability Note VU#307015 Infineon RSA library does not properly generate RSA key pairs https://www.kb.cert.org/vuls/id/307015 概要 Infineon 製 RSA ライブラリには、RSA 鍵ペアを適切に生成しない問題があり ます。結果として、遠隔の第三者が秘密鍵を取得する可能性があります。 対象となるバージョンは次のとおりです。 - Infineon 製 RSA ライブラリ version 1.02.013 この問題は、Infineon 製 RSA ライブラリを Infineon Technologies が提供 する修正済みのバージョンに更新することで解決します。また、次の回避策を 適用することで、本脆弱性の影響を軽減することが可能です。 - 本件の影響を受けないデバイスで置き換える - ECC 鍵で置き換えるもしくは別の方法で生成した RSA 鍵を使用する 詳細は、Infineon Technologies が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95530052 Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題 https://jvn.jp/vu/JVNVU95530052/ 関連文書 (英語) Infineon Technologies TPM update - Infineon Technologies https://www.infineon.com/cms/en/product/promopages/tpm-update/ 【6】ホームユニット KX-HJB1000 に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#54795166 ホームユニット KX-HJB1000 における複数の脆弱性 https://jvn.jp/jp/JVN54795166/ 概要 ホームユニット KX-HJB1000 には、複数の脆弱性があります。結果として、当 該製品にアクセス可能な第三者が任意のファイルを削除したり、当該製品にロ グイン可能なユーザがデータベースの情報を取得したり改ざんしたりするなど の可能性があります。 対象となるバージョンは次のとおりです。 - ホームユニット KX-HJB1000 ファームウェアバージョン GHX1YG 14.50 およびそれ以前 - ホームユニット KX-HJB1000 ファームウェアバージョン HJB1000_4.47 およびそれ以前 この問題は、ホームユニット KX-HJB1000 のファームウエアをパナソニック株 式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、 パナソニック株式会社が提供する情報を参照してください。 関連文書 (日本語) パナソニック株式会社 ホームユニットソフトウェア更新情報 https://jpn.faq.panasonic.com/app/answers/detail/a_id/9190/p/1761,2579,2580 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Wi-Fi Protected Access II (WPA2) に関する脆弱性が公開 2017年10月16日 (米国時間)、CERT/CC は WPA2 に関する脆弱性の情報を公開 しました。この一連の脆弱性を報告した研究者によると、WPA2 のハンドシェ イク中に Nonce およびセッション鍵の再利用を許容してしまう問題があると のことです。この問題を悪用された場合、第三者が、中間者攻撃によって得た パケットを復号するなどの可能性があり、研究者からは説明を含めた動画が公 開されています。当該脆弱性の影響を受けるとされる製品は複数存在していま す。影響を受ける製品の利用者は、開発者からの情報に基づいて、修正済みの バージョンにアップデートするなど、適切な対応をとることが望まれます。 参考文献 (日本語) Japan Vulnerability Notes JVNVU#90609033 Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題 https://jvn.jp/vu/JVNVU90609033/ 情報処理推進機構 (IPA) WPA2 における複数の脆弱性について https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html 参考文献 (英語) CERT/CC Vulnerability Note VU#228519 Wi-Fi Protected Access (WPA) handshake traffic can be manipulated to induce nonce and session key reuse https://www.kb.cert.org/vuls/id/228519/ KRACK Attacks: Breaking WPA2 Key Reinstallation Attacks https://www.krackattacks.com/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZ79jcAAoJEDF9l6Rp7OBIvg0H/0D88OBImoHi8ibpgWap2ZQE obYyZRHWY28C1WoevS1hWpnA9RKSdscWgXypnJDp2Eh1nGF7QlL8vF7hYGU3vkbe JOoN6yJvrDbVYlb6nGKXUqvnwL1JOiO+nN/ANbuH+wU65TLzhBLB/P6y9AFjwY4e tg/yXHjDzAktHZEcYKVSNJ4gxraRY9PUm9nENiLvyJ3BkA4kn22J8cCboV3jWJyB OjfgsTBmUP53mW35zOpU6L6L7YHxhDujHAguPmtKveA9PNCVa8ZVFlhPD10oRS1a Dwa4wCyZwMIqXrh8hI6p9s1TYMIy1ot5PZCDCP+8BOeQdBiGRk++COa1J7Y5lEY= =Heyb -----END PGP SIGNATURE-----