NVD脆弱性詳細

CVE-2016-6562

概要	On iOS and Android devices, the ShoreTel Mobility Client app version 9.1.3.109 fails to properly validate SSL certificates provided by HTTPS connections, which means that an attacker in the position to perform MITM attacks may be able to obtain sensitive account information such as login credentials.
公表日	2018年7月14日5:29
登録日	2021年1月26日14:15
最終更新日	2024年11月21日11:56

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:mitel:shortel_mobility_client:9.1.3.109:::::android::
cpe:2.3:a:mitel:shortel_mobility_client:9.1.3.109:::::iphone_os::

関連情報、対策とツール

No	URL	タグ
1	https://www.info-sec.ca/advisories/ShoreTel-Mobility.html	Third Party Advisory
2	https://www.info-sec.ca/advisories/ShoreTel-Mobility.html	Third Party Advisory
3	https://www.kb.cert.org/vuls/id/475907	Third Party Advisory US Government Resource
4	https://www.kb.cert.org/vuls/id/475907	Third Party Advisory US Government Resource
5	https://www.securityfocus.com/bid/95224	Third Party Advisory VDB Entry
6	https://www.securityfocus.com/bid/95224	Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html

JVN脆弱性情報

スマートフォンアプリ「ShoreTel Mobility Client」に SSL サーバ証明書の検証不備の脆弱性

タイトル	スマートフォンアプリ「ShoreTel Mobility Client」に SSL サーバ証明書の検証不備の脆弱性
概要	スマートフォンアプリ「ShoreTel Mobility Client」は、HTTPS 通信で使用される SSL サーバ証明書を正しく検証しないため、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。
想定される影響	当該アプリが動作する iOS デバイスと同一のネットワークに接続している攻撃者によって、HTTPS 通信の内容を盗聴されたり改ざんされたりする可能性があります。結果として、サーバにログインする際の認証情報など、機微な情報を取得される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は iOS アプリにおいては本脆弱性を修正した version 9.1.5.104 をリリースしています。ただし、2017年2月8日現在、Android アプリの修正版はリリースされていないようです。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。　　* 公共 Wi-Fi を含め、信頼できないネットワークに接続しない
公表日	2017年1月3日0:00
登録日	2017年1月5日12:09
最終更新日	2019年7月5日16:50

影響を受けるシステム

ShoreTel, Inc.

ShoreTel Mobility Client (Android 版) version 9.1.3.109 およびそれ以前

ShoreTel Mobility Client (iOS 版) version 9.1.5.104 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-6562	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6562
National Vulnerability Database (NVD)
2	CVE-2016-6562	https://nvd.nist.gov/vuln/detail/CVE-2016-6562

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-295	https://cwe.mitre.org/data/definitions/295.html

ベンダー情報

No	名前	URL
App Store
1	ShoreTel Mobility Client	https://itunes.apple.com/us/app/shoretel-mobility-client/id479054518

その他

変更履歴

No	変更内容	変更日
0	[2017年01月05日] 掲載 [2017年02月15日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：内容を更新対策：内容を更新	2018年2月17日10:37
1	[2019年07月05日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-6562) を追加	2019年7月5日16:49