NVD脆弱性詳細

CVE-2018-0691

概要	Multiple +Message Apps (Softbank +Message App for Android prior to version 10.1.7, Softbank +Message App for iOS prior to version 1.1.23, NTT DOCOMO +Message App for Android prior to version 42.40.2800, NTT DOCOMO +Message App for iOS prior to version 1.1.23, KDDI +Message App for Android prior to version 1.0.6, and KDDI +Message App for iOS prior to version 1.1.23) do not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.
公表日	2018年11月16日0:29
登録日	2021年3月1日18:37
最終更新日	2024年11月21日12:38

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://jvn.jp/en/jp/JVN37288228/index.html	Third Party Advisory
2	http://jvn.jp/en/jp/JVN37288228/index.html	Third Party Advisory
3	https://www.au.com/information/notice_mobile/service/2018-002/	Patch Vendor Advisory
4	https://www.au.com/information/notice_mobile/service/2018-002/	Patch Vendor Advisory
5	https://www.nttdocomo.co.jp/info/notice/page/180927_00.html	Patch Vendor Advisory
6	https://www.nttdocomo.co.jp/info/notice/page/180927_00.html	Patch Vendor Advisory
7	https://www.softbank.jp/mobile/info/personal/news/service/20180927a/	Patch Vendor Advisory
8	https://www.softbank.jp/mobile/info/personal/news/service/20180927a/	Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-295	不正な証明書検証	https://cwe.mitre.org/data/definitions/295.html

JVN脆弱性情報

スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における SSL サーバ証明書の検証不備の脆弱性

タイトル	スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における SSL サーバ証明書の検証不備の脆弱性
概要	スマートフォンアプリ「＋メッセージ（プラスメッセージ）」には、SSL サーバ証明書の検証不備の脆弱性が存在します。この脆弱性情報は、次の方が開発者に報告、および製品利用者への周知を目的に IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: LINE株式会社 ma.la 氏
想定される影響	中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日	2018年9月27日0:00
登録日	2018年9月27日14:07
最終更新日	2019年8月27日17:21

影響を受けるシステム

KDDI

＋メッセージ（プラスメッセージ) Android アプリ 1.0.6 より前のバージョン

＋メッセージ（プラスメッセージ) iOS アプリバージョン 1.1.23 より前のバージョン

株式会社NTTドコモ

＋メッセージ（プラスメッセージ) Android アプリ 42.40.2800 より前のバージョン

＋メッセージ（プラスメッセージ) iOS アプリバージョン 1.1.23 より前のバージョン

ソフトバンク株式会社

＋メッセージ（プラスメッセージ） Android アプリ 10.1.7 より前のバージョン

＋メッセージ（プラスメッセージ） iOS アプリバージョン 1.1.23 より前のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-0691	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0691
National Vulnerability Database (NVD)
2	CVE-2018-0691	https://nvd.nist.gov/vuln/detail/CVE-2018-0691

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Softbank
1	「＋メッセージ」セキュリティ対策のためのアプリアップデートのお願い	https://www.softbank.jp/mobile/info/personal/news/service/20180927a/
株式会社NTTドコモ
2	「＋メッセージ」アプリをご利用のお客さまへ、アップデート実施のお願い	https://www.nttdocomo.co.jp/info/notice/page/180927_00.html
ＫＤＤＩ株式会社
3	「＋メッセージ」アプリをご利用のお客様へ　アプリアップデートのお願い	https://www.au.com/information/notice_mobile/service/2018-002/

その他

No	名前	URL
JVN
1	JVN#37288228	https://jvn.jp/jp/JVN37288228/index.html

変更履歴

No	変更内容	変更日
3	[2019年08月27日] 参考情報：National Vulnerability Database (NVD) (CVE-2018-0691) を追加	2019年8月27日14:14
1	[2018年09月27日] 掲載	2018年9月26日12:29
2	[2018年10月01日] [謝辞] の記述を修正しました。	2018年10月1日12:27