製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Apple 製品の Secure Transport における EXPORT_RSA 暗号に対して暗号スイートのダウングレード攻撃を実行される脆弱性

Title	複数の Apple 製品の Secure Transport における EXPORT_RSA 暗号に対して暗号スイートのダウングレード攻撃を実行される脆弱性
Summary	複数の Apple 製品の Secure Transport は、TLS ステートの遷移を適切に制限しないため、EXPORT_RSA 暗号に対して暗号スイートのダウングレード攻撃を実行される脆弱性が存在します。本件は、"FREAK" 問題に関する脆弱性です。本脆弱性は、CVE-2015-0204 および CVE-2015-1637 とは異なる脆弱性です。
Possible impacts	第三者により、巧妙に細工された TLS トラフィックを介して、EXPORT_RSA 暗号に対して暗号スイートのダウングレード攻撃を実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 9, 2015, midnight
Registration Date	March 12, 2015, 5:51 p.m.
Last Update	March 9, 2017, 3:34 p.m.

CVSS2.0 : 警告
Score	5
Vector	AV:N/AC:L/Au:N/C:N/I:P/A:N

Affected System

アップル

Apple Mac OS X 10.10.2

Apple Mac OS X 10.8.5

Apple Mac OS X 10.9.5

Apple TV 7.1 未満 (Apple TV 第 3 世代以降)

iOS 8.2 未満 (iPad 2 以降)

iOS 8.2 未満 (iPhone 4s 以降)

iOS 8.2 未満 (iPod touch 第 5 世代以降)

watchOS 1.0.1 未満 (Apple Watch Edition)

watchOS 1.0.1 未満 (Apple Watch Sport)

watchOS 1.0.1 未満 (Apple Watch)

日本電気

CapsSuite V4 から V5.1

CSVIEW /FAQナビ全バージョン

CSVIEW /Webアンケート全バージョン

EnterpriseDirectoryServer Ver6.0 から Ver8.0

EnterpriseIdentityManager 全バージョン

Express5800 /SG シリーズ InterSecVM/SG v1.2,v3.0,v3.1,v4.0

Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1,v6.2,v7.0,v7.1,v8.0

Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ

InfoCage セキュリティリスク管理 V1.0.2 から V2.1.4

IP38X/SR100 Rev.10.00.44以降

iStorage A シリーズ

iStorage D シリーズ

iStorage E シリーズ

iStorage HSシリーズ全バージョン

iStorage M シリーズ (NAS オプション含む)

iStorage Neシリーズ Ver.002.05.00以降

iStorage S シリーズ

SecureWare/PKIアプリケーション開発キット Ver3.0

SecureWare/PKIアプリケーション開発キット Ver3.01

SecureWare/PKIアプリケーション開発キット Ver3.02

SecureWare/PKIアプリケーション開発キット Ver3.1

WebOTX Enterprise Edition V4.2 から V6.5

WebOTX Standard Edition V4.2 から V6.5

WebOTX Standard-J Edition V4.1 から V6.5

WebOTX UDDI Registry V1.1 から V7.1

WebOTX Web Edition V4.1 から V6.5

WebOTX Application Server Enterprise Edition V7.1

WebOTX Application Server Enterprise V8.2 から V9.2

WebOTX Application Server Express V8.2 から V9.2

WebOTX Application Server Foundation V8.2 から V8.5

WebOTX Application Server Standard Edition V7.1

WebOTX Application Server Standard V8.2 から V9.2

WebOTX Application Server Standard-J Edition V7.1 から V8.1

WebOTX Application Server Web Edition V7.1 から V8.1

WebOTX Enterprise Service Bus V6.4 から V9.2

WebOTX Portal V8.2 から V9.1

WebOTX SIP Application Server Standard Edition V7.1 から V8.1

WebSAM Application Navigator V3.1.0.x から V4.1.0.x

WebSAM JobCenter CL/Web R13.1

WebSAM JobCenter CL/Web R13.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1067	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1067
National Vulnerability Database (NVD)
2	CVE-2015-1067	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1067

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
Apple Mailing Lists
1	APPLE-SA-2015-03-09-1 iOS 8.2	http://lists.apple.com/archives/security-announce/2015/Mar/msg00000.html
2	APPLE-SA-2015-03-09-2 AppleTV 7.1	http://lists.apple.com/archives/security-announce/2015/Mar/msg00001.html
3	APPLE-SA-2015-03-09-3 Security Update 2015-002	http://lists.apple.com/archives/security-announce/2015/Mar/msg00002.html
4	APPLE-SA-2015-04-08-2 OS X 10.10.3 and Security Update 2015-004	http://lists.apple.com/archives/security-announce/2015/Apr/msg00001.html
5	APPLE-SA-2015-05-19-1 Watch OS 1.0.1	http://lists.apple.com/archives/security-announce/2015/May/msg00001.html
Apple Security Updates
6	HT204413	http://support.apple.com/en-us/HT204413
7	HT204423	http://support.apple.com/en-us/HT204423
8	HT204426	http://support.apple.com/en-us/HT204426
9	HT204659	https://support.apple.com/en-us/HT204659
10	HT204870	https://support.apple.com/en-us/HT204870
Apple セキュリティアップデート
11	HT204413	http://support.apple.com/ja-jp/HT204413
12	HT204423	http://support.apple.com/ja-jp/HT204423
13	HT204426	http://support.apple.com/ja-jp/HT204426
14	HT204659	https://support.apple.com/ja-jp/HT204659
15	HT204870	https://support.apple.com/ja-jp/HT204870
JVN
16	アライドテレシス株式会社からの情報	http://jvn.jp/vu/JVNVU99125992/522154/index.html
NEC製品セキュリティ情報
17	NV15-016	http://jpn.nec.com/security-info/secinfo/nv15-016.html

その他

No	Name	URL
JVN
1	JVNVU#90171154	http://jvn.jp/vu/JVNVU90171154/index.html
2	JVNVU#93832567	http://jvn.jp/vu/JVNVU93832567/
3	JVNVU#99125992	http://jvn.jp/vu/JVNVU99125992/index.html
US-CERT Vulnerability Note
4	VU#243585	https://www.kb.cert.org/vuls/id/243585
関連文書
5	Tracking the FREAK Attack	https://freakattack.com/

Change Log

No	Changed Details	Date of change
0	[2015年03月12日] 掲載 [2015年04月27日] ベンダ情報：アップル (HT204659) を追加ベンダ情報：アップル (APPLE-SA-2015-04-08-2 OS X 10.10.3 and Security Update 2015-004) を追加 [2015年05月25日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：アップル (HT204870) を追加ベンダ情報：アップル (APPLE-SA-2015-05-19-1 Watch OS 1.0.1) を追加参考情報：JVN (JVNVU#93832567) を追加 [2016年01月29日] 参考情報：JVN (JVNVU#99125992) を追加参考情報：US-CERT Vulnerability Note (VU#243585) を追加ベンダ情報：アライドテレシス (アライドテレシス株式会社からの情報) を追加ベンダ情報：日本電気 (NV15-016) を追加影響を受けるシステム：ベンダ情報の追加に伴い内容を更新 [2016年06月23日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2016年08月02日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新 [2017年03月09日] 影響を受けるシステム：ベンダ情報の更新に伴い内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-1067

Summary	Secure Transport in Apple iOS before 8.2, Apple OS X through 10.10.2, and Apple TV before 7.1 does not properly restrict TLS state transitions, which makes it easier for remote attackers to conduct cipher-downgrade attacks to EXPORT_RSA ciphers via crafted TLS traffic, related to the "FREAK" issue, a different vulnerability than CVE-2015-0204 and CVE-2015-1637.
Publication Date	March 11, 2015, 10:59 a.m.
Registration Date	Jan. 26, 2021, 2:45 p.m.
Last Update	Nov. 21, 2024, 11:24 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:apple:mac_os_x::::::::			10.10.2

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:apple:tvos::::::::			7.0.3

Configuration3		or higher	or less	more than	less than
cpe:2.3:o:apple:iphone_os::::::::			8.1.3

Related information, measures and tools

No	URL	タグ
1	http://lists.apple.com/archives/security-announce/2015/Apr/msg00001.html	Vendor Advisory
2	http://lists.apple.com/archives/security-announce/2015/Apr/msg00001.html	Vendor Advisory
3	http://lists.apple.com/archives/security-announce/2015/Mar/msg00000.html	Vendor Advisory
4	http://lists.apple.com/archives/security-announce/2015/Mar/msg00000.html	Vendor Advisory
5	http://lists.apple.com/archives/security-announce/2015/Mar/msg00001.html	Vendor Advisory
6	http://lists.apple.com/archives/security-announce/2015/Mar/msg00001.html	Vendor Advisory
7	http://lists.apple.com/archives/security-announce/2015/Mar/msg00002.html	Vendor Advisory
8	http://lists.apple.com/archives/security-announce/2015/Mar/msg00002.html	Vendor Advisory
9	http://www.securityfocus.com/bid/73009
10	http://www.securityfocus.com/bid/73009
11	http://www.securitytracker.com/id/1031829	Third Party Advisory VDB Entry
12	http://www.securitytracker.com/id/1031829	Third Party Advisory VDB Entry
13	http://www.securitytracker.com/id/1031830	Third Party Advisory VDB Entry
14	http://www.securitytracker.com/id/1031830	Third Party Advisory VDB Entry
15	https://freakattack.com/	Exploit
16	https://freakattack.com/	Exploit
17	https://support.apple.com/HT204413	Vendor Advisory
18	https://support.apple.com/HT204413	Vendor Advisory
19	https://support.apple.com/HT204423	Vendor Advisory
20	https://support.apple.com/HT204423	Vendor Advisory
21	https://support.apple.com/HT204426	Vendor Advisory
22	https://support.apple.com/HT204426	Vendor Advisory
23	https://support.apple.com/HT204659	Vendor Advisory
24	https://support.apple.com/HT204659	Vendor Advisory
25	https://support.apple.com/kb/HT204870
26	https://support.apple.com/kb/HT204870

Common Vulnerabilities List