セキュリティホール memo - 2011.08

Last modified: Mon Mar 25 14:55:02 2013 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2011.08.31

Opera 11.51 released
(Opera, 2011.08.30)

 Opera 11.51 登場。Unsecured web content may appear to be secure or trusted through Extended Validation が修正されている。

Firefox と Thunderbird のセキュリティアップデートを公開しました
(Mozilla Japan ブログ, 2011.08.31)

 Firefox 6.0.1 PC 版、Firefox 3.6.21、Thunderbird 6.0.1 が登場。 Firefox 6.0.1 Android 版、Thunderbird 3.1.13 はまだ。

[Full-disclosure] [SECURITY] CVE-2011-3190 Apache Tomcat Authentication bypass and information disclosure
(Full-disclosure, 2011.08.30)

 Apache Tomcat 7.0.x / 6.0.x / 5.5.x に欠陥。 AJP プロトコルの実装に欠陥があり、攻撃者が認証を迂回して情報を取得できる。 CVE-2011-3190

 SVN 上では修正されている。

 iida さん情報ありがとうございます。

追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

 Apache 2.2.20 出ました。

 Apache 2.0.x / 1.3.x については、ひきつづき回避策が必要なようです。関連:

Google の一部サイトに対して発行された不正な SSL 証明書の問題

 Microsoft のアドバイザリ、日本語版が出てます。

  • マイクロソフト セキュリティ アドバイザリ (2607712) 不正なデジタル証明書により、なりすましが行われる (Microsoft, 2011.08.30)

  • 不正なデジタル証明書に関する新規アドバイザリ 2607712 を公開 (日本のセキュリティチーム, 2011.08.30)

    必要な対策

    DigiNotar 社の不正なデジタル証明書を「信頼されたルート証明機関」から削除する処理は Windows Vista 以降の OS では自動で行われます。そのため、Windows Vista 以降の OS をご利用のユーザーについては、特に作業を行う必要はありません。Windows XP および Windows Server 2003 のユーザーに関しては、現在対応を検討中です。

    備考

    DigiNotar の証明書は、通常の状態では存在せず、DigiNotar の証明書を使用した Web サイトにアクセスした場合やアプリケーションを実行した場合、「信頼されたルート証明機関」に追加されます。Internet Explorer の [インターネットオプション] - [コンテンツ] タブ - [証明書] ボタンで確認できます。

    Windows XP / Server 2003 だと、 手動で削除しても、再び自動的に追加しちゃうということかな……。

 関連:

 ……と言っているうちに Firefox / Thunderbird 修正版出ました:

 Firefox 6.0.1 PC 版、Firefox 3.6.21、Thunderbird 6.0.1 が登場。 Firefox 6.0.1 Android 版、Thunderbird 3.1.13 はまだ。


2011.08.30

Google の一部サイトに対して発行された不正な SSL 証明書の問題
(Mozilla Japan ブログ, 2011.08.30)

 3 月の Comodo の件 (マイクロソフト セキュリティ アドバイザリ (2524375) 不正なデジタル証明書により、なりすましが行われる) みたいな状況がまた発生した模様。 今回は Comodo ではなく DigiNotar。

不正発行の規模が明らかになっていないことから、Mozilla では、デスクトップ版 Firefox (3.6.21、6.0.1、7、8、9)、Android 版 Firefox (6.0.1、7、8、9)、Thunderbird (3.1.13、6.0.1)、SeaMonkey (2.3.2) のアップデートを至急公開する準備を進めています。これらの新バージョンで、DigiNotar 社のルート証明書を無効化し、ユーザを上記のような攻撃から守ります。Mozilla ではすべてのユーザに対し、セキュリティアップデートを定期的に適用することで、使用しているソフトウェアを最新の状態に保つことを推奨します。ユーザの皆さんは Firefox のオプション画面から DigiNotar 社のルート証明書を手作業で無効化する こともできます。

 関連:

 Microsoft の対応:

2011.08.31 追記:

 Microsoft のアドバイザリ、日本語版が出てます。

 関連:

 ……と言っているうちに Firefox / Thunderbird 修正版出ました:

 Firefox 6.0.1 PC 版、Firefox 3.6.21、Thunderbird 6.0.1 が登場。 Firefox 6.0.1 Android 版、Thunderbird 3.1.13 はまだ。

2011.09.05 追記:

 Thunderbird 3.1.13 は出てます: Thunderbird 6.0.1 and 3.1.13 security updates now available (mozilla.org, 2011.08.31)。Firefox 6.0.1 Android 版はまだみたい。

 おおもとの Diginotar 話はさらに話がヤバくなっているようで。Google どころじゃない。

2011.09.06 追記:

 関連:

2011.09.07 追記:

 Windows / Firefox / Thunderbird / Seamonkey / Debian / FreeBSD 修正出てます。

 ハクった人が GlobalSign の名前を出したため、対応に追われている模様。

 関連:

2011.09.09 追記:

 関連:

2011.09.20 追記:

 関連:

2011.09.22 追記:

 DigiNotar 破産。

2011.09.23 追記:

 ハッキングされて倒産 (エフセキュアブログ, 2011.09.21)

2013.03.25 追記:

 29th Chaos Communication Congress(29C3)レポート:HTTPSはもはや安全ではない? 刺激的な討論もなされたヨーロッパのセキュリティ祭り (@IT, 2013.03.22)。DigiNotar の件の解説あり。


2011.08.29

追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

 関連:

 なお、新バージョンはまだ出ていないようです。

いろいろ (2011.08.29)
(various)


2011.08.28

追記

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

 Advisory が更新されています: Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) (apache.org, 2011.08.26)。UPDATE 2 だそうです。

  • 初出に関する記述が追加された。

  • 48 時間経過したがまだ patch はできていない。さらに 24 時間待て。

  • 回避方法が改訂された。Request-Range への対応、Apache 2.0.x では動かない回避方法への対応など。


2011.08.27


2011.08.26

追記

Microsoft 2011 年 8 月のセキュリティ情報

 A deeper look at ms11-058 (SkullSecurity, 2011.08.23)

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)

 2ch鯖落ち 今回の犯人はこいつらwwwwwwwwwwwwww (名無しの VIP, 2011.08.26)。安易に本番サーバーで試すのは、やめましょう。

 Revival of an Unpatched Apache HTTPD DoS (SANS ISC, 2011.08.25)。初出は 2007 年だった模様。

PHP 5.3.7 Released!

 PHP 5.3.7 の CVE は 6 個じゃなくて 8 個みたい。 CVE-2011-1148 CVE-2011-1657 CVE-2011-1938 CVE-2011-2202 CVE-2011-2483 CVE-2011-3182 CVE-2011-3267 CVE-2011-3268

APSB11-21: Security update available for Adobe Flash Player

 Flash Player 10.3.183.5 には不具合があったそうで、10.3.183.7 が登場しています。


2011.08.25

Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)
(apache.org, 2011.08.24)

 [Full-disclosure] Apache Killer の件。Range header の処理に欠陥があり、DoS 攻撃 (メモリ、CPU 負荷上昇) が可能。 Bug 51714: Byte Range Filter might consume huge amounts of memory combined with compressed streams (apache.org) も参照。

 48 時間以内に修正版が出る予定。複数の回避方法が記載されているが、それぞれ副作用があるので注意。

2011.08.26 追記:

 2ch鯖落ち 今回の犯人はこいつらwwwwwwwwwwwwww (名無しの VIP, 2011.08.26)。安易に本番サーバーで試すのは、やめましょう。

 Revival of an Unpatched Apache HTTPD DoS (SANS ISC, 2011.08.25)。初出は 2007 年だった模様。

2011.08.28 追記:

 Advisory が更新されています: Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192) (apache.org, 2011.08.26)。UPDATE 2 だそうです。

2011.08.29 追記:

 関連:

 なお、新バージョンはまだ出ていないようです。

2011.08.31 追記:

 Apache 2.2.20 出ました。

 Apache 2.0.x / 1.3.x については、ひきつづき回避策が必要なようです。関連:

2011.09.05 追記:

 Advisory の UPDATE 3 のドラフト版というのがあるようで:

 各ディストリから修正版が出ているが、CentOS 5.6 / 6.0 がややこしいことになっている (CentOS 5.7 / 6.1 のリリースが遅れているため)。

2011.09.07 追記:

 修正版つづき:

2011.09.14 追記:

 Advisory の最終版 (UPDATE 3) 出ました: Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL): Range header DoS vulnerability Apache HTTPD prior to 2.2.20 (apache.org, 2011.09.13)

2011.09.20 追記:

 関連:

2011.11.03 追記:

 ePolicy Orchestrator: CVE-2011-3192 にて報告された Apache HTTP Server の脆弱性について (マカフィー, 2011.11.02)。ePO 4.0 / 4.5 / 4.6 で使われてる Apache にもこの欠陥があります、hotfix あるので適用してください。あと ePO 4.0 は 2011.09.30 でサポート終了してます。


2011.08.24

追記

いろいろ (2011.07.18)

PHP 5.3.7 Released!

 PHP 5.3.8 出ました: PHP 5.3.8 Released! (PHP.net, 2011.08.23)

 関連: PHP5.3.7のcrypt関数のバグはこうして生まれた (徳丸浩の日記, 2011.08.24)


2011.08.23

Google Chrome Stable Channel Update
(Google, 2011.08.22)

 Google Chrome 13.0.782.215 登場。11 件の欠陥が修正されている。

追記

PHP 5.3.7 Released!

 PHP 5.3.7 の crypt() に重大な問題が発見され、PHP.net から「5.3.7 へのアップグレードはせずに 5.3.8 を待つべき」というアナウンスが出ています。

もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら
(ockeghem(徳丸浩)の日記, 2011.08.23)

 安全な入門書がほしいです。


2011.08.22

ZABBIX 1.8.6
(zabbix.com, 2011.08.04)

 ZABBIX 1.8.6 では複数の欠陥が修正されているそうで。

 あと、これ↓は 1.8.7 で修正されるものだそうで:

追記

いろいろ (2011.08.19)

 SaaS Endpoint Protection で発見された ActiveX コントロールの脆弱性について (マカフィー, 2011.08.19)。日本語版の McAfee SaaS Endpoint Protection 5.2.2 は 2011.09.20 リリース予定だそうで。1 か月間放置ですか。


2011.08.19

いろいろ (2011.08.19)
(various)

2011.08.22 追記:

 SaaS Endpoint Protection で発見された ActiveX コントロールの脆弱性について (マカフィー, 2011.08.19)。日本語版の McAfee SaaS Endpoint Protection 5.2.2 は 2011.09.20 リリース予定だそうで。1 か月間放置ですか。

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2011.08.16)

 Windows / Mac 用の RealPlayer と RealPlayer Enterprise に複数の欠陥。 任意のコードの実行を招く。 Linux 用の RealPlayer にはこの欠陥はない模様。 CVE-2011-2945 CVE-2011-2946 CVE-2011-2947 CVE-2011-2948 CVE-2011-2949 CVE-2011-2950 CVE-2011-2951 CVE-2011-2952 CVE-2011-2953 CVE-2011-2954 CVE-2011-2955

 RealPlayer 14.0.6、Mac 用 RealPlayer 12.0.0.1701、RealPlayer Enterprise 2.1.6 で修正されている。

2011.10.05 追記:

 修正項目から CVE-2011-1221 が洩れていたそうで、2011.08.26 付で追記されていた。

シマンテック方面 (Endpoint Protection Manager, Veritas Enterprise Administrator service)
(シマンテック)

 cadz さん情報ありがとうございます。

PHP 5.3.7 Released!
(PHP.net, 2011.08.18)

 PHP 5.3.7 登場。リリースアナウンスによると 6 件の欠陥が修正されています。

2011.08.23 追記:

 PHP 5.3.7 の crypt() に重大な問題が発見され、PHP.net から「5.3.7 へのアップグレードはせずに 5.3.8 を待つべき」というアナウンスが出ています。

2011.08.24 追記:

 PHP 5.3.8 出ました: PHP 5.3.8 Released! (PHP.net, 2011.08.23)

 関連: PHP5.3.7のcrypt関数のバグはこうして生まれた (徳丸浩の日記, 2011.08.24)

2011.08.26 追記:

 PHP 5.3.7 の CVE は 6 個じゃなくて 8 個みたい。 CVE-2011-1148 CVE-2011-1657 CVE-2011-1938 CVE-2011-2202 CVE-2011-2483 CVE-2011-3182 CVE-2011-3267 CVE-2011-3268

Firefox 6 / 3.6.20, Thunderbird 6 / 3.1.12 登場
(mozilla.org, 2011.08.16)

 出てます。

 関連:


2011.08.16


2011.08.14

いろいろ (2011.08.14)
(various)

追記

Microsoft 2011 年 8 月のセキュリティ情報

 全面的に追記。


2011.08.10

APSB11-23: Security updates available for RoboHelp
(Adobe, 2011.08.09)

 RoboHelp 9 / 8、RoboHelp Server 9 / 8 に欠陥。 RoboHelp のインストール時に XSS 欠陥が発生する。CVE-2011-2133

 patch があるので適用すればよい。また RoboHelp 9.0.1.262 以降にはこの欠陥はない。

APSB11-22: Security update available for Adobe Photoshop CS5
(Adobe, 2011.08.09)

 Photoshop CS5 / CS5.1 (12.0 / 12.1) に欠陥、攻略 GIF ファイルを開くと任意のコードが実行される。CVE-2011-2131

 patch があるので適用すればよい。

APSB11-20: Security update available for Adobe Flash Media Server
(Adobe, 2011.08.09)

 Flash Media Server 4.0.3 / 3.5.7 登場。 DoS 攻撃を実施できる欠陥 CVE-2011-2132 が修正されている。

APSB11-19: Security update available for Adobe Shockwave Player
(Adobe, 2011.08.09)

 Shockwave Player 11.6.1.629 登場。7 種類の欠陥が修正されている。全ての欠陥が任意のコードの実行を招く。

APSB11-21: Security update available for Adobe Flash Player
(Adobe, 2011.08.09)

 Flash Player 10.3.183.5、Adobe Flash Player for Android 10.3.186.3、AIR 2.7.1、AIR for Android 2.7.1.1961 登場。13 種類の欠陥が修正されている。 全ての欠陥が任意のコードの実行を招く。 今のところ、欠陥を悪用するマルウェアや exploit は確認されていない模様。

 Google Chrome は 13.0.782.112 で対応している。

 関連: Adobe Flash Player の脆弱性に関する注意喚起 (JPCERT/CC, 2011.08.10)

2011.08.26 追記:

 Flash Player 10.3.183.5 には不具合があったそうで、10.3.183.7 が登場しています。

Microsoft 2011 年 8 月のセキュリティ情報
(Microsoft, 2011.08.10)

 予定どおり出ました。

MS11-057 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2559049)

 IE 6 / 7 / 8 / 9 に 7 つの欠陥。

  • ウィンドウが開く競合状態の脆弱性 - CVE-2011-1257

  • イベント ハンドラーの情報漏えいの脆弱性 - CVE-2011-1960

  • Telnet ハンドラーのリモート コード実行の脆弱性 - CVE-2011-1961

  • シフト JIS 文字エンコードの脆弱性 - CVE-2011-1962

  • XSLT のメモリ破損の脆弱性 - CVE-2011-1963

  • Style のオブジェクトのメモリ破損の脆弱性- CVE-2011-1964

  • ドラッグ アンド ドロップの情報漏えいの脆弱性 - CVE-2011-2383

 関連:

MS11-058 - 緊急: DNS サーバーの脆弱性により、リモートでコードが実行される (2562485)

 Windows Server 2003 / 2008 / 2008 R2 に欠陥。 DNS サーバーに 2 件の欠陥があり、攻略パケットによって任意のコードが実行されたり情報漏洩が発生したりする。

 関連:

MS11-059 - 重要: Data Access Components の脆弱性により、リモートでコードが実行される (2560656)

 Windows 7 / Server 2008 R2 に欠陥。DLL 読み込みに関する脆弱性の件。 CVE-2011-1975

MS11-060 - 重要: Microsoft Visio の脆弱性により、リモートでコードが実行される (2560978)

 Visio 2003 / 2007 / 2010 に 2 つの欠陥。 いずれも、攻略 Visio ファイルによって任意のコードが実行される。

MS11-061 - 重要: リモート デスクトップ Web アクセスの脆弱性により、特権が昇格される (2546250)

 Windows Server 2008 R2 に欠陥。リモート デスクトップ Web アクセスに XSS 欠陥があり、ユーザーの権限で任意のコードが実行される。 CVE-2011-1263

MS11-062 - 重要: リモート アクセス サービス NDISTAPI ドライバーの脆弱性により、特権が昇格される (2566454)

 Windows XP / Server 2003 に欠陥。NDISTAPI ドライバーに欠陥があり、 local user による権限上昇が可能。CVE-2011-1974

MS11-063 - 重要: Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2567680)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。クライアント/サーバー ランタイム サブシステム (CSRSS) に欠陥があり、 local user による権限上昇が可能。 CVE-2011-1967

MS11-064 - 重要: TCP/IP スタックの脆弱性により、サービス拒否が起こる (2563894)

 Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 TCP/IP スタックに 2 つの欠陥がある。

  • ICMP のサービス拒否の脆弱性 - CVE-2011-1871

    ICMP の処理に欠陥があり、攻略 ICMP パケットによって DoS 攻撃 (システム再起動) が可能。

  • TCP/IP QOS のサービス拒否の脆弱性 - CVE-2011-1965

    「URL ベースの QoS」が有効な場合に、URL の処理に欠陥があり、 攻略 URL によって DoS 攻撃 (システム再起動) が可能。

MS11-065 - 重要: リモート デスクトップ プロトコルの脆弱性によりサービス拒否が発生する (2570222)

 Windows XP / Server 2003 に欠陥。RDP パケットの処理に欠陥があり、攻略 RDP パケットによって DoS 攻撃 (システム再起動) が可能。 CVE-2011-1968

MS11-066 - 重要: Microsoft Chart Control の脆弱性により、情報漏えいが起こる (2567943)

 .NET Framework 4 および Chart Control for Microsoft .NET Framework 3.5 SP1 に欠陥。Chart Control における URI の処理に欠陥があり、攻略 URI によってファイルやディレクトリを読み取ることが可能。CVE-2011-1977

MS11-067 - 重要: Microsoft Report Viewer の脆弱性により、情報漏えいが起こる (2578230)

 Microsoft Report Viewer 2005 SP1 に欠陥。レポート ビューアー コントロールに XSS 欠陥がある。CVE-2011-1976

MS11-068 - 警告: Windows カーネルの脆弱性により、サービス拒否が起こる (2556532)

 Windows Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。Windows カーネルにおけるファイルメタデータの扱いに欠陥があり、攻略ファイルによって DoS 攻撃 (システム再起動) が可能。 CVE-2011-1971

MS11-069 - 警告: .NET Framework の脆弱性により、情報漏えいが起こる (2567951)

 .NET Framework 2.0 SP2 / 3.5.1 / 4 に欠陥。System.Net.Sockets 名前空間内の情報が適切に保護されないため、公開されないはずの情報にアクセスできる。.NET Framework 1.1 SP1 / 3.5 SP1 にはこの欠陥はない。

 関連:

2011.08.14 追記:

 全面的に追記。

2011.08.26 追記:

 A deeper look at ms11-058 (SkullSecurity, 2011.08.23)


2011.08.09

追記

Microsoft 2011 年 4 月のセキュリティ情報


2011.08.08

マイクロソフト セキュリティ情報の事前通知 - 2011 年 8 月
(Microsoft, 2011.08.05)

 13 件。緊急 x 2、重要 x 11。IE あり (緊急)、Office あり (重要 / Visio)、.NET Framework あり (重要)。

 関連:


2011.08.04

Zero Day Vulnerability in many WordPress Themes
(markmaunder.com, 2011.08.01)

 WordPress のテーマにおいて広く利用されている timthumb.php に 0-day 欠陥。

 こういうことみたい:

  1. timthumb.php は特定の複数のサイトからのファイルの読み込みを許可している。 しかしサイト名のチェックが不完全なため、実際には任意のサイトからのファイルの読み込みを許可しているに等しい。

    たとえば example.jp を許可していた場合に、 example.jp.bad.bad.bad.example.com も許可されてしまう。

  2. 読み込まれたファイルは特定のディレクトリにキャッシュされるが、キャッシュファイル名を容易に推測できてしまう。

  3. キャッシュファイルに外部から直接アクセスできてしまう。

  4. 結果として、PHP シェルなどを容易に設置できる。

 修正版はまだないみたい。「特定の複数のサイトからのファイルの読み込みを許可」の部分を削除することで対応できる。

  1. find /wordpress/install/dir/ -name timthumb.php -print などを実行して timthumb.php を探す。

  2. timthumb.php を編集する。$allowedSites を初期化している次のような部分を探し、

    // external domains that are allowed to be displayed on your website
    $allowedSites = array (
            'flickr.com',
            'picasa.com',
            'img.youtube.com',
    );
    

    次のように変更する。

    // external domains that are allowed to be displayed on your website
    $allowedSites = array ();
    

    全ての timthumb.php に対して同様に実行する。

 全てのキャッシュの確認もあわせて実施されたい。cache というディレクトリにあるみたい。ヤバ気なファイルがあったら、ヤラレているかも。

2011.11.04 追記:

 またしても、TimThumb の欠陥を利用した WordPress への大規模攻撃が行われているそうで: Thousands of WordPress blogs hijacked to deploy malicious code (H Online, 2011.11.03)。

 この欠陥は、最新版である TimThumb 2.0 では修正されています。

About the security content of QuickTime 7.7
(Apple, 2011.08.03)

 Windows / Mac OS X 用 QuickTime 7.7 登場。14 種類の欠陥 (内 13 種類は任意のコードの実行を招く) が修正されている。


2011.08.03

Google Chrome Stable Channel Update
(Google Chrome Release blog, 2011.08.02)

 Chrome 13.0.782.107 登場。30 種類の欠陥が修正されている。


2011.08.02

いろいろ (2011.08.02)
(various)

HTML5に50件のセキュリティ問題、欧州機関が修正を勧告
(ITmedia, 2011.08.02)

 特定の実装にではなく、仕様に対する勧告。

追記

About the security content of Safari 5.1 and Safari 5.0.6

 Bizarre Apple Safari cookie bug perplexes users (Sophos, 2011.07.30)。Safari 5.1 / Mac OS X 10.6.8 の cookie まわりの不具合など。

osCommerce 利用サイトに対する大規模な改ざん攻撃が行われている模様


2011.08.01


[セキュリティホール memo]
[私について]