セキュリティホール memo - 2012.04

Last modified: Tue Jan 29 17:21:03 2013 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2012.04.30

 今日で 4 月も終了か……。

いろいろ (2012.04.30)
(various)

追記

Oracle April 2012 Critical Patch Update Released

長期休暇を控えて 2012/04

 ゴールデンウイーク期間の営業に関するご案内 (トレンドマイクロ, 2012.04.26)

Microsoft 2012 年 4 月のセキュリティ情報

 忘れてたので追記。


2012.04.27


2012.04.26

追記

長期休暇を控えて 2012/04

 大型連休中もセキュリティ対策を忘れずに (トレンドマイクロ セキュリティ blog, 2012.04.26)

VMware ESX ソースコード漏洩
(various)

 このへん:


2012.04.25

追記

長期休暇を控えて 2012/04

いろいろ (2012.04.25)
(various)

Firefox 12.0 / 10.0.4 ESR、Thunderbird 12.0 / 10.0.4 ESR 公開
(mozilla.jp, 2012.04.25)

 Firefox 12.0 / 10.0.4 ESR、Android 版 Firefox 10.0.4、SeaMonkey 2.9、Thunderbird 12.0 / 10.0.4 ESR 公開されました。計 14 件のセキュリティ欠陥が修正されています。

 Firefox 3.6.x および Thunderbird 3.1.x のサポートは 2012.04.23 に終了しました。これらについては、最新版 (12.0 または 10.0.4 ESR) に更新してください。

 セキュリティ修正一覧。

SA 番号 重要度 概要 F 12.0 F 10.0 T 12.0 T 10.0 S 2.9 特記事項
MFSA 2012-20 最高 様々なメモリ安全性の問題 (rv:12.0/ rv:10.0.4) X X X X X CVE-2012-0467
MFSA 2012-21 最高 FreeType v2.4.9 で修正された複数のセキュリティ問題 Android 版 Firefox にのみ影響。 CVE-2012-1126 CVE-2012-1127 CVE-2012-1128 CVE-2012-1129 CVE-2012-1130 CVE-2012-1131 CVE-2012-1132 CVE-2012-1133 CVE-2012-1134 CVE-2012-1135 CVE-2012-1136 CVE-2012-1137 CVE-2012-1138 CVE-2012-1139 CVE-2012-1140 CVE-2012-1141 CVE-2012-1142 CVE-2012-1143 CVE-2012-1144
MFSA 2012-22 最高 IDBKeyRange における解放後使用の問題 X X X X X CVE-2012-0469
MFSA 2012-23 最高 gfxImageSurface における不正な解放によるヒープ破壊 X X X X X CVE-2012-0470
MFSA 2012-24 マルチバイトコンテンツ処理エラーを通じた潜在的な XSS X X X X X CVE-2012-0471
MFSA 2012-25 最高 cairo-dwrite を使ったフォント描画中に生じる潜在的なメモリ破壊 X X X X X CVE-2012-0472
MFSA 2012-26 WebGL.drawElements の FindMaxUshortElement エラーによる動画メモリの不正な読み取り X X X X X CVE-2012-0473
MFSA 2012-27 ページ読み込みの短絡化による XSS X X X X X CVE-2012-0474
MFSA 2012-28 Origin ヘッダのあいまいな IPv6 による Web サーバのアクセス制限回避 X X X CVE-2012-0475
MFSA 2012-29 ISO-2022-KR/ISO-2022-CN のデコード問題を通じた潜在的な XSS X X X X X CVE-2012-0477
MFSA 2012-30 最高 textImage2D を使った WebGL コンテンツによるクラッシュ X X X X X CVE-2012-0478
MFSA 2012-31 最高 OpenType サニタイザのオフバイワンエラー X X X X X CVE-2011-3062
MFSA 2012-32 JavaScript エラーによる HTTP リダイレクトとリモートコンテンツの読み取り X X X CVE-2011-1187
MFSA 2012-33 RSS/Atom フィード読み込み時の潜在的なサイト識別情報偽装 X X X X X CVE-2012-0479

2012.04.24

いろいろ (2012.04.24)
(various)

追記

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開

 関連:

長期休暇を控えて 2012/04

 「SMART HDD」が猛威−偽セキュリティソフトにご注意 (トレンドマイクロ セキュリティ blog, 2012.04.23)

OpenSSL Security Advisory [19 Apr 2012] ASN1 BIO vulnerability (CVE-2012-2110)

 OpenSSL 0.9.8w 登場。0.9.8v の修正が不完全だった模様。from CHANGES:

The fix for CVE-2012-2110 did not take into account that the 'len' argument to BUF_MEM_grow and BUF_MEM_grow_clean is an int in OpenSSL 0.9.8, making it still vulnerable. Fix by rejecting negative len parameter. (CVE-2012-2131)

 iida さん情報ありがとうございます。

[JS12001] 一太郎・Shurikenの脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2012.04.24)

 一太郎、ジャストスクール、Shuriken 等に欠陥。

 アップデートモジュールが用意されているので適用すればよい。


2012.04.23

追記

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開

 関連:

法務省担当官にウイルス罪について質問してきたパート2(昨年10月)
(高木浩光@自宅の日記, 2012.04.21)

この見解の対立は、まさに、善用も悪用もされ得るプログラムについて不正指令電磁的記録の罪をどう考えるかの問題で、プログラムという客体が不正指令電磁的記録に該当するか否かは行為とは独立に存在した時点で静的に決まるものと考える(α)か、それとも、同一のプログラムであっても行為に伴って不正指令電磁的記録該当性が動的に変わるものと考える(β)かの違い*13である。

 これってつまり、「PUA はマルウェアか?」ということだよなあ。 αは「PUA はマルウェアではない」、βは「PUA は状況によってはマルウェアだ」と。 ふつうのアンチウイルスベンダーは、分類としては PUA とマルウェアを明確に分けると思うけど、 デフォルトで PUA を検出するかどうかは、ベンダーやプロダクトによって異なるだろうなあ。 たとえばマカフィー VSE はデフォルトでは PUA 全無視だけど、 Sophos Endpoint Security and Control の場合は、検出はするけど勝手に削除はしないようで。

 まあ、βの方が、より現実的な対応だよなあ。PUA なら全無視 ok というのは、ちょっと。

WordPress 3.3.2 (そして WordPress 3.4 ベータ 3)
(WordPress.org, 2012.04.21)

 WordPress 3.3.2 登場。WordPress 本体の 3 つのセキュリティ欠陥 (XSS x 2、権限上昇 x 1)、および添付されている 3 つの外部ライブラリの欠陥が修正されている。 JVNDB-2012-002110 JVNDB-2012-002111 JVNDB-2012-002112 JVNDB-2012-002113 JVNDB-2012-002114 JVNDB-2012-002115


2012.04.20

OpenSSL Security Advisory [19 Apr 2012] ASN1 BIO vulnerability (CVE-2012-2110)
(OpenSSL, 2012.04.19)

 OpenSSL に欠陥。asn1_d2i_read_bio 関数に欠陥があり、攻略 ASN.1 データによって任意のコードを実行できる。

 関連: [Full-disclosure] incorrect integer conversions in OpenSSL can result in memory corruption. (Full-disclosure ML, 2012.04.19)

 OpenSSL 1.0.1a / 1.0.0i / 0.9.8v で修正されている。

 iida さん情報ありがとうございます。

2012.04.24 追記:

 OpenSSL 0.9.8w 登場。0.9.8v の修正が不完全だった模様。from CHANGES:

The fix for CVE-2012-2110 did not take into account that the 'len' argument to BUF_MEM_grow and BUF_MEM_grow_clean is an int in OpenSSL 0.9.8, making it still vulnerable. Fix by rejecting negative len parameter. (CVE-2012-2131)

 iida さん情報ありがとうございます。

2012.05.01 追記:

 OpenSSL 1.0.1a は非 x86 / x86_64 環境ではうまくコンパイルできないなどの問題があったそうで、 これを修正した OpenSSL 1.0.1b が公開されています。 iida さん情報ありがとうございます。

Apache、セキュリティを修正した最新安定版「Apache HTTP Server 2.4.2」リリース
(sourceforge.jp, 2012.04.18)

 リリースアナウンス。 LD_LIBRARY_PATH の扱いに欠陥があり、DSO の検索にカレントディレクトリが含まれてしまっていた CVE-2012-0883 のが修正されたそうで。

長期休暇を控えて 2012/04
(JPCERT/CC, 2012.04.20)

 もうそんな季節。「偽ハードディスク診断ソフトウエア」の件だけ特出しされてますね。

2012.04.24 追記:

 「SMART HDD」が猛威−偽セキュリティソフトにご注意 (トレンドマイクロ セキュリティ blog, 2012.04.23)

2012.04.25 追記:

 【注意喚起】ゴールデンウィーク前に対策を (IPA, 2012.04.25)

2012.04.26 追記:

 大型連休中もセキュリティ対策を忘れずに (トレンドマイクロ セキュリティ blog, 2012.04.26)

2012.04.30 追記:

 ゴールデンウイーク期間の営業に関するご案内 (トレンドマイクロ, 2012.04.26)


2012.04.19


2012.04.18

【重要情報】Webサーバー・プラグインのデフォルトの個人証明書が2012年4月26日で有効期限切れとなる
(IBM, 2012.04.09)

 IBM WebSphere Application Server V8.0 / 7.0 / 6.1 / 6.0 に含まれる鍵データベース (plugin-key.kdb) の個人証明書の期限が 2012.04.26 だそうで。吉井さん情報ありがとうございます。

【対応策】
これまでの確認から「WebSphere Plugin Key」を使用してWebサーバー・プラグインとアプリケーション・サーバー間でSSL相互認証を行っている場合は、期限切れの対応のために新規に鍵データベース・ファイルを作成し、適切な有効期限を持つ自己署名証明書を作成してください。以下のインフォーメーション・センターのトピックにしたがって個人証明書の作成と相互認証の設定を行ってください。

追記

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開

JVNVU#126159: Autonomy KeyView IDOL に複数の脆弱性

 Data Loss Prevention Endpoint 及び Device Control 9.1 / 9.2 で発見された Autonomy KeyView IDOL の脆弱性について (マカフィー, 2012.04.17)。Data Loss Prevention Endpoint / Device Control においては 9.1 Patch2 / 9.2 Patch1 で修正されている。

Oracle April 2012 Critical Patch Update Released
(Oracle, 2012.04.17)

 Oracle 更新出ました。計 88 件。Oracle Database Server (6)、Fusion Middleware (11)、Enterprise Manager Grid Control (6)、E-Business Suite (4)、Supply Chain Products Suite (5)、PeopleSoft Enterprise (15)、FLEXCUBE (17)、Siebel Clinical Trial Management System (2)、Primavera (1)、Sun (15)、MySQL (6)。

2012.04.30 追記:

 Critical Unpatched Oracle Vulnerability (SANS ISC, 2012.04.27)、 Oracle TNS Poison vulnerability is actually a 0day with no patch available (Full-Disclosure ML, 2012.04.26)

2012.05.01 追記:

 unpatched の件、オフィシャル情報出ました。


2012.04.17


2012.04.16

追記

CVE-2012-1182: Samba 3.x "root" credential remote code execution

 対応状況追加:


2012.04.14

次週予告
(various)


2012.04.13

いろいろ (2012.04.13)
(various)

追記

CVE-2012-1182: Samba 3.x "root" credential remote code execution

 関連:


2012.04.12

追記

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開

 関連:

CVE-2012-1182: Samba 3.x "root" credential remote code execution
(samba.org, 2012.04.10)

 Samba 3.x に欠陥。RPC の処理に欠陥があり、攻略 RPC パケットによって remote から無認証かつ root 権限で任意のコードを実行できる。CVE-2012-1182

 Samba 3.6.4 / 3.5.14 / 3.4.16 で修正されている。 また Samba 3.0.37 / 3.2.15 / 3.3.16 / 3.4.15 / 3.5.13 / 3.6.3 用の patch が公開されている。 Samba 3.3 以前はもはやメンテナンスされていないが、重大な欠陥なので特別に patch が用意された。

 アップデート / patch 適用できない場合の影響軽減策としては、hosts allow パラメータを使って接続するクライアントを制限する方法が示されている。

 関連:

2012.04.13 追記:

 関連:

2012.04.16 追記:

 対応状況追加:


2012.04.11

追記

ローソン全9000店で使える無料の無線LAN「LAWSON Wi-Fi」が本日スタート

Microsoft 2012 年 4 月のセキュリティ情報
(Microsoft, 2012.04.11)

 予定どおり出てます (あとで書く)。MS12-027 - 緊急: Windows コモン コントロールの脆弱性により、リモートでコードが実行される (2664258) は 0-day だそうで。

2012.04.30 追記:

 忘れてたので追記。

MS12-023 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2675157)

 IE 6 / 7 / 8 / 9 に 5 つの欠陥。

  • 印刷機能のリモートでコードが実行される脆弱性 - CVE-2012-0168

    攻略 HTML ページを「リンクの一覧を印刷する」オプションを有効 (デフォルト: 無効) にして印刷することで、任意のコードが実行される。 Exploitability Index: N/A

  • JScript9 のリモートでコードが実行される脆弱性 - CVE-2012-0169

    IE 9 のみに影響。攻略 Web ページによってメモリ破壊が発生、任意のコードが実行される。Exploitability Index: 3

  • OnReadyStateChange のリモートでコードが実行される脆弱性 - CVE-2012-0170

    IE 6 / 7 のみに影響。攻略 Web ページによってメモリ破壊が発生、任意のコードが実行される。Exploitability Index: 1

  • SelectAll のリモートでコードが実行される脆弱性 - CVE-2012-0171

    攻略 Web ページによってメモリ破壊が発生、任意のコードが実行される。Exploitability Index: 1

  • VML スタイルのリモートでコードが実行される脆弱性 - CVE-2012-0172

    IE 6 / 7 / 8 のみに影響。攻略 Web ページによってメモリ破壊が発生、任意のコードが実行される。Exploitability Index: 1

 関連: IE9 にアップグレードすると言語パックがインストールできない現象 (日本のセキュリティチーム, 2012.04.12)。2012.04.17 付で修正されています。

MS12-024 - 緊急: Windows の脆弱性により、リモートでコードが実行される (2653956)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 に欠陥。 PE ファイルに使用する Windows Authenticode Signature Verification に欠陥があり、 署名つきであるにもかかわらず改変を検出できない場合がある。Exploitability Index: 1。 CVE-2012-0151

MS12-025 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2671605)

 .NET Framework 1.0 / 1.1 / 2.0 / 3.5.1 / 4 に欠陥。 パラメータの検証方法に欠陥があり、攻略 Web ページや ASP.NET アプリケーションによって任意のコードが実行される。 .NET Framework 3.0 / 3.5 にはこの欠陥はない。Exploitability Index: 1。 CVE-2012-0163

 関連: MS12-025 and XBAP: No longer a driveby threat (Microsoft Security Research & Defense, 2012.04.10)

MS12-026 - 重要: Forefront Unified Access Gateway (UAG) の脆弱性により、情報漏えいが起こる (2663860)

 Forefront Unified Access Gateway (UAG) 2010 SP1 / SP1 Update 1 に 2 つの欠陥。

  • UAG の無分別な HTTP リダイレクトの脆弱性 - CVE-2012-0146

    UAG Web インターフェイスにおける、外部 Web サイトへのリダイレクトの検証・確認手法に欠陥があり、認証済の UAG ユーザーを攻略 Web サイトにリダイレクトさせることによって、認証情報を入力させるなどの行為を実行できる。

  • UAG の既定の Web サイトへのフィルター処理されないアクセスの脆弱性 - CVE-2012-0147

    認証されていないユーザーが UAG の既定の Web サイトにアクセスできる。 Exploitability Index: 3

注意:

MS12-026 の更新プログラムは、マイクロソフト ダウンロード センターでのみ提供され、Microsoft Update を通じては提供されませんので、ご注意ください。

MS12-027 - 緊急: Windows コモン コントロールの脆弱性により、リモートでコードが実行される (2664258)

 Office 2003 / 2007 / 2010、SQL Server 2000 / 2005 / 2008、BizTalk Server 2002、Commerce Server 2002 / 2007 / 2009、Visual FoxPro 8.0 / 9.0、Visual Basic 6.0 ランタイムに欠陥。 MSCOMCTL.OCX に含まれる Windows コモンコントロール (MSCOMCTL.TreeView / MSCOMCTL.ListView2 / MSCOMCTL.TreeView2 / MSCOMCTL.ListView) に欠陥があり、攻略 Web ページによって任意のコードを実行できる。 Exploitability Index: 1。CVE-2012-0158

 攻略コードが広く存在する。

 関連: MS12-027: Enhanced protections regarding ActiveX controls in Microsoft Office documents (Microsoft Security Research & Defense, 2012.04.10)

MS12-028 - 重要: Microsoft Office の脆弱性により、リモートでコードが実行される (2639185)

 Office 2007 SP2、Works 9、Works 6〜9 ファイルコンバーターに欠陥。 攻略 .wps ファイルによって任意のコードを実行できる。 Office 2007 SP3 にはこの欠陥はない。 Exploitability Index: 1。 CVE-2012-0177

 関連:

2012.06.13 追記:

 MS12-025 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2671605) 更新プログラムが再リリースされた。

2012 年 4 月 11 日に最初に提供された更新プログラムをインストールすると、特定の Windows Forms アプリケーションで印刷できないか、印刷しても指定されたプリンター設定をサポートしなくなる可能性があります。

 この問題が修正されているのでしょう。

2012.06.18 追記:

 New APT Attack Shows Technical Advance in Exploit Development (Kaspersky, 2012.06.15)。CVE-2012-0158 が使われている。

2012.06.26 追記:

 MS12-025 (KB2656369) が繰り返し検出される事象について (Japan WSUS Support Team Blog, 2012.06.20)

MS12-025 が繰り返し必要と検出される事象は、MS12-025 バージョン 1 の検出ロジックが、MS12-025 バージョン 2 が適用済みであり本来であれば不要であることを正しく判断できず、必要と判断してしまうためです。(中略)

■ 対処方法について
手作業で MS12-025 バージョン 1 を拒否済みに設定してください。

2012.08.09 追記:

 Naughty nurse Sakura Shiratori tries to infect defence firm with malware (Sophos, 2012.08.08)。CVE-2012-0158 を狙うマルウェア事例。 なお、白鳥さくらさんは、今は藤原さくらと名乗っていらっしゃるようです。

2013.01.29 追記:

 修正済みのWindowsコモンコントロールの脆弱性を悪用するウイルスメール増加 (so-net セキュリティ通信, 2013.01.28)

Adobe Reader and Acrobat X (10.1.3) and 9.5.1
(Adobe, 2012.04.10)

 Adobe Reader / Acrobat 10.1.3 / 9.5.1 付随事項。

APSB12-08: Security updates available for Adobe Reader and Acrobat
(Adobe, 2012.04.10)

 Adobe Reader / Acrobat 10.1.3 / 9.5.1 出ました。10.1.3 への更新・移行が推奨されています。 9.5.1 は Priority: 1 ですが、 0-day だったわけではないそうで。 4 件の欠陥が修正されています。 CVE-2012-0774 CVE-2012-0775 CVE-2012-0776 CVE-2012-0777

 関連:


2012.04.10

追記

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開

Chrome Stable and Beta Channel Updates

 Windows 版のみ 18.0.1025.152 が出ています。SSL に関する不具合 Issue 118706: HTTPS/Certificate websites always have "Invalid Server Certificate" Error が修正されています。

ローソン全9000店で使える無料の無線LAN「LAWSON Wi-Fi」が本日スタート

 ローソンと付き合うには友達を捨てる覚悟が必要 (高木浩光@自宅の日記, 2012.04.08)


2012.04.09

追記

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開

 Mac 版 Java SE 6 Update 31、謎の更新が行われたようで:

ローソン全9000店で使える無料の無線LAN「LAWSON Wi-Fi」が本日スタート
(Internet Watch, 2012.04.06)

 そして伝説へ。

 まどか「そんな……あんまりだよ、こんなのってないよ」

2012.04.10 追記:

 ローソンと付き合うには友達を捨てる覚悟が必要 (高木浩光@自宅の日記, 2012.04.08)

2012.04.11 追記:

 「LAWSON Wi-Fi」の件、ローソンが対処表明、ログイン方法と規約を変更へ  パスワードを導入、誕生日の開示禁止などは見直し (Internet Watch, 2012.04.10)

カーリルセキュリティアラート「匿名FTPによる図書館内部データの開放について」
(カーリル, 2012.04.09)

 anonymous FTP で公開されてました事例が 2 つ発見され、対処されたそうで。 また、これとは別に、Windows ファイル共有のポートが公開されている事例が「多数」存在するそうで。 Benjamin さん情報ありがとうございます。

2012.04.20 追記:

 匿名FTPによる図書館内部データの開放 (水無月ばけらのえび日記, 2012.04.15)


2012.04.08


2012.04.06

いろいろ (2012.04.06)
(various)

追記

APSB12-07: Security update available for Adobe Flash Player

 Security Bulletin が 2012.04.05 付で改訂された。Google Chrome 特有の項目 2 件が Chrome 18.0.1025.151 で修正されたそうだ。 CVE-2012-0724 CVE-2012-0725

The Google Chrome version 18.0.1025.151 update addresses two Flash Player memory corruption vulnerabilities in the Chrome interface (Google Chrome only) (CVE-2012-0724, CVE-2012-0725).

 Chrome 18.0.1025.151 の Flash バージョンは 11.2.202.229。

Ghost Domain Names: Revoked Yet Still Resolvable

 BIND 9.8.2 / 9.7.5 / 9.6-ESV-R6 が公開されました。幽霊ドメイン名問題の修正が含まれています。リリースノート: BIND 9.7.5 / 9.6-ESV-R6。 BIND 9.8.2 のリリースノートは、なぜか中身が 9.6-ESV-R6 のものになってるような。

Chrome Stable and Beta Channel Updates
(Google Chrome Release Blog, 2012.04.05)

 Chrome 18.0.1025.151 登場。12 件のセキュリティ修正の他、非セキュリティな部分の修正も多数。Flash Player も 11.2.202.229 に更新され、Google Chrome 特有の欠陥 2 件 CVE-2012-0724 CVE-2012-0725 が修正されている。

2012.04.10 追記:

 Windows 版のみ 18.0.1025.152 が出ています。SSL に関する不具合 Issue 118706: HTTPS/Certificate websites always have "Invalid Server Certificate" Error が修正されています。

さぁ〜て、来週のサザエさんは〜?
(various)

 じゃぁまた、来週もパッチあててくださいね〜。ウフフフフ。


2012.04.05


2012.04.04

いろいろ (2012.04.04)
(various)

追記

APSB11-02: Security update available for Adobe Flash Player

 あまり知られていないBlackholeのエクスプロイト (エフセキュアブログ, 2012.04.02)。CVE-2011-0559 攻略プログラムが含まれるそうで。

オラクル、深刻な脆弱性を修正した「JRE 6/7」の最新版を公開

 Oracle Java SE Critical Patch Update Advisory - February 2012 (Oracle, 2012.02.14) は 2012.02.17 付で改訂されている。CVE-2011-3571CVE-2012-0507 につけ変えたそうで。

 Mac 版 Java SE 6 Update 31、ようやく出ました: About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7 (Apple, 2012.04.03)。 既に悪用されているので、Mac 利用者は大急ぎで適用しませう。

 関連:

APSB12-07: Security update available for Adobe Flash Player

 バックグラウンドアップデーターの導入について(Windows 版 Flash Player) (Adobe, 2012.03.30)。Windows 版 Flash Player 11.2 の自動更新機能 (バックグラウンドアップデーター) の説明、日本語版。


2012.04.03


2012.04.02

いろいろ (2012.04.02)
(various)


2012.04.01


[セキュリティホール memo]
[私について]