脆弱性情報 まとめ

今週の脆弱性情報まとめです。

【1】Microsoft Windows 、 SMB パケット処理にメモリ破損の脆弱性

【概要】
Microsoft Windows の SMB Tree Connect Response パケットの処理に、メモリ破損の脆弱性があるとのことです。攻撃者が、悪意のある SMBサーバに接続し、サービス運用妨害 (DoS) 攻撃を行う恐れがあります。

【対象となるバージョン】

- Microsoft Windows 8.1
- Microsoft Windows 10

【対策】

現在、対策済みのバージョンは公開されていません(2017年2月7日)

以下の回避策を適用し、本脆弱性の影響を軽減することが可能です。

- LAN から外部への SMB 接続をブロックする (宛先ポート 137/udp, 138/udp, 139/tcp, 445/tcp)
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95841181
Microsoft Windows の SMB Tree Connect Response パケットの処理にメモリ破損の脆弱性
https://jvn.jp/vu/JVNVU95841181/

【2】Cisco Prime Home に認証回避の脆弱性

【概要】
Cisco Prime Home に、認証回避の脆弱性があるとのことです。攻撃者が悪意ある HTTP リクエストを送信し、当該製品の管理者権限で任意の操作を行う恐れがあります。

【対象となるバージョン】

- Cisco Prime Home 6.5.0.1 より前のバージョンの 6 系

【対策】

修正済みのバージョンに更新。
関連文書 (英語)
Cisco
Cisco Prime Home Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170201-prime-home

【3】VMware Airwatch に複数の脆弱性

【概要】
VMware Airwatch に複数の脆弱性があります。攻撃者が、セキュリティ制御を回避したり、情報を搾取する恐れがあります。

【対象となるバージョン】

- VMware Airwatch Agent 7.0 より前のバージョン (Android 版)
- VMware Airwatch Console 9.0 FP1 より前のバージョン (Android 版)
- VMware Airwatch Inbox 2.12 より前のバージョン (Android 版)

【対策】

修正済みのバージョンに更新した上でPBE (Pin-Based Encryption) を有効化してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2017-0001
https://www.vmware.com/security/advisories/VMSA-2017-0001.html

【4】Android アプリ「LaLa Call」および「ビジネスLaLa Call」に SSL サーバ証明書の検証不備の脆弱性

【概要】
Android アプリ「LaLa Call」「ビジネスLaLa Call」に、SSL サーバ証明書の検証不備の脆弱性があります。攻撃者が、中間者攻撃によって暗号通信を盗聴される恐れがあります。

【対象となるバージョン】

- Android アプリ「LaLa Call」 ver2.4.7 およびそれ以前
- Android アプリ「ビジネスLaLa Call」 ver1.4.7 およびそれ以前

【対策】

修正済みのバージョンに更新。

関連文書 (日本語)
LaLa Call
Android版アプリにおけるSSLサーバー証明書の脆弱性と修正完了のお知らせ
https://support.lalacall.jp/news/510/

LaLa Call
Android版ビジネスLaLaCallにおけるアップデートのお願いについて
https://business.lalacall.jp/support/news/511/

詳細;JPCERT

<

『こんな会社が情報漏洩を起こす3つのポイント』セミナー (品川会場/参加費無料) 情報漏洩を起こしてしまった3つの実例を基に有効対策を解説します。