| Summary | On iOS and Android devices, the ShoreTel Mobility Client app version 9.1.3.109 fails to properly validate SSL certificates provided by HTTPS connections, which means that an attacker in the position to perform MITM attacks may be able to obtain sensitive account information such as login credentials. |
|---|---|
| Publication Date | July 14, 2018, 5:29 a.m. |
| Registration Date | Jan. 26, 2021, 2:15 p.m. |
| Last Update | Nov. 21, 2024, 11:56 a.m. |
| CVSS3.0 : HIGH | |
| スコア | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) | 隣接 |
| 攻撃条件の複雑さ(AC) | 高 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CVSS2.0 : LOW | |
| Score | 2.9 |
|---|---|
| Vector | AV:A/AC:M/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) | 隣接 |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:mitel:shortel_mobility_client:9.1.3.109:*:*:*:*:android:*:* | |||||
| cpe:2.3:a:mitel:shortel_mobility_client:9.1.3.109:*:*:*:*:iphone_os:*:* | |||||
| Title | スマートフォンアプリ「ShoreTel Mobility Client」に SSL サーバ証明書の検証不備の脆弱性 |
|---|---|
| Summary | スマートフォンアプリ「ShoreTel Mobility Client」は、HTTPS 通信で使用される SSL サーバ証明書を正しく検証しないため、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。 |
| Possible impacts | 当該アプリが動作する iOS デバイスと同一のネットワークに接続している攻撃者によって、HTTPS 通信の内容を盗聴されたり改ざんされたりする可能性があります。結果として、サーバにログインする際の認証情報など、機微な情報を取得される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は iOS アプリにおいては本脆弱性を修正した version 9.1.5.104 をリリースしています。 ただし、2017年2月8日現在、Android アプリの修正版は リリースされていないようです。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * 公共 Wi-Fi を含め、信頼できないネットワークに接続しない |
| Publication Date | Jan. 3, 2017, midnight |
| Registration Date | Jan. 5, 2017, 12:09 p.m. |
| Last Update | July 5, 2019, 4:50 p.m. |
| ShoreTel, Inc. |
| ShoreTel Mobility Client (Android 版) version 9.1.3.109 およびそれ以前 |
| ShoreTel Mobility Client (iOS 版) version 9.1.5.104 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2017年01月05日] 掲載 [2017年02月15日] タイトル:内容を更新 概要:内容を更新 影響を受けるシステム:内容を更新 対策:内容を更新 |
Feb. 17, 2018, 10:37 a.m. |
| 1 | [2019年07月05日] 参考情報:National Vulnerability Database (NVD) (CVE-2016-6562) を追加 |
July 5, 2019, 4:49 p.m. |