セキュリティホール memo - 2013.04

Last modified: Thu May 22 15:46:07 2014 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2013.04.30

いろいろ (2013.04.30)
(various)

FreeBSD-SA-13:05.nfsserver - Insufficient input validation in the NFS server
(FreeBSD-Announce ML, 2013.04.29)

 FreeBSD 8.x 以降の新しい NFS サーバー実装に欠陥。

 root ユーザーで kldstat -v | grep -cw nfsd を実行し、 1 が返ってくる場合は、新しい NFS サーバー実装が使われており、この欠陥の影響を受ける。0 の場合は、この欠陥の影響を受けない。

 新しい NFS サーバー実装における READDIR リクエストの処理に欠陥があり、それが実際にディレクトリノードへの操作なのかのチェックが抜けている。そのため、READDIR リクエストをファイルに対して実施してしまうと……

 patch があるので適用し、kernel を再構築して再起動すればよい。 また、古い NFS サーバー実装を使うことで回避できる。


2013.04.29

いろいろ (2013.04.29)
(various)

2013.05.09 追記:

 ePO の件、McAfee Agent 4.5 / 4.6 拡張ファイルについても更新する必要があるそうで:

2013.05.31 追記:

  マカフィーサポート通信 - 2013/05/30 (マカフィー, 2013.05.30)。 ePO 4.5 patch 7 がリリースされました。

2013.07.18 追記:

 McAfee Security Bulletin - ePO update fixes two vulnerabilities reported by Verizon (McAfee SB10042)


2013.04.27


2013.04.26

追記

About the security content of Safari 6.0.4

 同じ日に Safari 5.1.9 (Snow Leopard) もリリースされていたそうで。

Safari 5.1.9 では、Web サイトごとに Java プラグインを有効にするかどうかを設定できるようになります。

About the security content of OS X Mountain Lion v10.8.3 and Security Update 2013-001

 Apple の Snow Leopard 用Safari 5.1.8 にセキュリティ業界もビックリ (intego, 2013.03.21)。Mac OS X 10.6.8 用のセキュリティアップデート 2013-001 には Safari 5.1.8 が含まれていたのだそうで。しかし、

ところが、Appleはこのアップデートの詳細をAppleセキュリティアップデートのページに公開していません。セキュリティアップデート 2013-001 の記事あるいは Safari 6.0.3 の記事でもSafari 5.1.8 に触れておらず、Safari 5.1.8 に関する単独の記事もありません。そのため、Safari 6.0 から 6.0.3 の間にパッチされた 201 の脆弱性が、5.1.8 でも修正されたのかは不明です。

 安全側に倒れるなら、使わないほうがよさげ。

DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起

 関連:

  • 過去最大300Gbps超のDDoS攻撃に悪用されたDNSの「オープンリゾルバー」とは (Internet Watch, 2013.04.26)

     ホームルーターについては、4月19日に行われたJANOG31.5の「DNS Open Resolverについて考える」セッションにおいて、JPCERT/CCの久保さんから「もしそのようなルーターを発見された場合、脆弱性ハンドリングの一環として機種情報をJPCERT/CCまでご連絡いただきたい」という旨の発言がありました。もし、使用中のホームルーターがオープンリゾルバーであると判明した場合、JPCERT/CCに機種名などの情報を連絡するようにするとよいでしょう。
  • DNS Open Resolver について考える (JANOG 31.5)


2013.04.25

いろいろ (2013.04.25)
(various)


2013.04.24

New Java security hole affects desktops and servers
(H Security, 2013.04.23)

 またあったそうです。Java SE 7 (最新版含む)。

追記

Oracle Java SE Critical Patch Update Advisory - April 2013

Microsoft 2013 年 4 月のセキュリティ情報

 KB2823324 の件、更新版の修正プログラムが KB2840149 として再リリースされました。

ClamAV 0.97.8 has been released!
(ClamAV, 2013.04.23)

 複数の、0-day でない、潜在的なセキュリティ欠陥が修正されているそうで。 ChangeLog にあるこれですか:

Fri Apr 5 17:36:54 EDT 2013 (dar)
------------------------------------
 * libclamav: Bugs reported by Felix Groebert of the Google Security Team

2013.05.17 追記:


2013.04.23


2013.04.22


2013.04.21


2013.04.19

いろいろ (2013.04.19)
(various)


2013.04.18

DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
(JPCERT/CC, 2013.04.18)

 詳細はこちらをどうぞ (ぉぃ):

2013.04.26 追記:

 関連:


2013.04.17

Oracle Java SE Critical Patch Update Advisory - April 2013
(Oracle, 2013.04.16)

 Java SE 7u21 / 6u45、JavaFX 2.2.21 登場。42 件の欠陥が修正されている。 CVE-2013-2383 CVE-2013-2384 CVE-2013-1569 CVE-2013-2434 CVE-2013-2432 CVE-2013-2420 CVE-2013-1491 CVE-2013-1558 CVE-2013-2440 CVE-2013-2435 CVE-2013-2431 CVE-2013-2425 CVE-2013-1518 CVE-2013-2414 CVE-2013-2428 CVE-2013-2427 CVE-2013-2422 CVE-2013-1537 CVE-2013-1557 CVE-2013-2421 CVE-2013-0402 CVE-2013-2426 CVE-2013-2436 CVE-2013-1488 CVE-2013-2394 CVE-2013-2430 CVE-2013-2429 CVE-2013-1563 CVE-2013-2439 CVE-2013-0401 CVE-2013-2419 CVE-2013-2424 CVE-2013-1561 CVE-2013-1564 CVE-2013-2438 CVE-2013-2417 CVE-2013-2418 CVE-2013-2416 CVE-2013-2433 CVE-2013-1540 CVE-2013-2423 CVE-2013-2415

 Mac 版 Java SE 6u45 も公開: About the security content of Java for OS X 2013-003 and Mac OS X v10.6 Update 15 (Apple, 2013.04.16)

 リリースノート:

 Java SE 6 はとっくに EOL を過ぎているのですが、まだ更新版が公開されているようで。 どうなってるんだろう。

 関連:

2013.04.24 追記:

 CVE-2013-2423 の exploit がさっそく登場だそうで。

About the security content of Safari 6.0.4
(Apple, 2013.04.16)

 出てます。CVE-2013-0912 が修正されたそうです。

2013.04.26 追記:

 同じ日に Safari 5.1.9 (Snow Leopard) もリリースされていたそうで。

Safari 5.1.9 では、Web サイトごとに Java プラグインを有効にするかどうかを設定できるようになります。

2013.04.16

いろいろ (2013.04.16)
(various)

Oracle Critical Patch Update Pre-Release Announcement - April 2013
(oracle)

 Oracle 製品、および Java SE の四半期定期更新が 2013.04.16 (US 時間) に予定されています。明日ですね。

 関連: IMP: Your Java Applets and Web Start Applications Should Be Signed (Oracle, 2013.03.28)

Starting with Java SE 7 Update 21 in April 2013, all Java Applets and Web Start Applications should be signed with a trusted certificate.

2013.04.15


2013.04.14

WordPressを狙った大規模な攻撃
(セキュリティは楽しいかね? Part 2, 2013.04.14)

 流行ってるらしいです。とりあえず、 管理者ユーザ名を「admin」から他の何かに変更する……というか、 別の管理者権限ユーザ (推測しづらい名前がよい) を作成し、admin は消すのがよいらしい。 参照: WordPressのログイン ユーザー名とパスワードの変更 (KENS WEBLOG, 2009.03.15)。 パスワードも強いものをつけてね (Gmail ヘルプMicrosoft パスワードチェックサイト)。 wordpress.com を使っている場合は、最近サポートされた 2 要素認証の利用も推奨。

 関連:


2013.04.13


2013.04.12

追記

Microsoft 2013 年 4 月のセキュリティ情報

 KB2823324 更新プログラムの件、Microsoft 自身が「アンインストール推奨」を宣言しました。

 障害事例追加:

 あと、悪意のあるソフトウェアの削除ツールのタイトル修正も行われてますね。


2013.04.11

いろいろ (2013.04.11)
(various)

Hackers turn a Canon EOS camera into a remote surveillance tool
(NetworkWorld, 2013.04.10)

 キヤノン EOS 1D-X にはLAN ポートが装備されていて、さらにサーバー機能とか備えているみたいなんだけど、これがマズいらしい。

However, the camera's connectivity was not designed with security in mind, said Mende. "If a photographer uses an insecure network like a hotel Wi-Fi network or a Starbucks network, than almost anybody with a little bit of knowledge is able to download images from the camera," he said.

 利用者の方はご注意を。

Microsoft 2013 年 4 月のセキュリティ情報
(Microsoft, 2013.04.10)

 予定どおり出ました。

MS13-028 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2817183)

 IE 6〜10 に 2 件の欠陥。Exploitability Index はどちらも 2。

  • Internet Explorer の解放後使用の脆弱性 - CVE-2013-1303

  • Internet Explorer の解放後使用の脆弱性 - CVE-2013-1304

MS13-029 - 緊急: リモート デスクトップ クライアントの脆弱性により、リモートでコードが実行される (2828223)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2 に欠陥。 mstscax.dll に欠陥があり、攻略 Web ページを閲覧すると任意のコードが実行される。 CVE-2013-1296 Exploitability Index: 1

MS13-030 - 重要: SharePoint の脆弱性により、情報漏えいが起こる (2827663)

 SharePoint Server 2013 に欠陥。SharePoint Server 2010 からアップグレードした場合に欠陥があり、アクセスできないはずのドキュメントにアクセスできてしまう。 CVE-2013-1290。Exploitability Index: 3

この脆弱性の攻撃の経路は、SharePoint Server 2010 からアップグレードされた SharePoint Server 2013 のレガシー ユーザー インターフェース モードで作成された新規の個人用サイトによるもの

MS13-031 - 重要: Windows カーネルの脆弱性により、特権が昇格される (2813170)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。 Windows カーネルに 2 件の欠陥があり、local user による権限上昇が可能。

  • カーネルの競合状態の脆弱性 - CVE-2013-1284。Exploitability Index: 2

  • カーネルの競合状態の脆弱性 - CVE-2013-1294。Exploitability Index: 2

MS13-032 - 重要: Active Directory の脆弱性により、サービス拒否が起こる (2830914)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012 に欠陥。 Active Directory の LDAP サービスに欠陥があり、攻略クエリによって DoS 攻撃 (LDAP サービス応答停止) を実施できる。 CVE-2013-1282。Exploitability Index: 3

MS13-033 - 重要: Windows クライアント/サーバー ランタイム サブシステム (CSRSS) の脆弱性により、特権が昇格される (2820917)

 Windows XP、Server 2003、Vista、Server 2008 に欠陥。 Windows クライアント/サーバー ランタイム サブシステム (CSRSS) に欠陥があり、local user が攻略アプリケーションを使って、local SYSTEM 権限で任意のコードを実行できる。CVE-2013-1295。Exploitability Index: 3

MS13-034 - 重要: Microsoft Antimalware Client の脆弱性により、特権が昇格される (2823482)

 Windows 8、RT に欠陥。Windows Defender の Microsoft Antimalware Client に欠陥があり、local user による権限上昇 (local SYSTEM 権限獲得) が可能。 CVE-2013-0078。Exploitability Index: 1

MS13-035 - 重要: HTML のサニタイズ コンポーネントの脆弱性により、特権が昇格される (2821818)

 InfoPath 2010、SharePoint Server 2010、Groove Server 2010、SharePoint Foundation 2010、Office Web Apps 2010 に欠陥。「HTML 文字列をサニタイズする方法」に欠陥があり XSS が発生、攻略 SharePoint コンテンツを使って攻撃対象ユーザーに任意のスクリプトを実行させられる。 CVE-2013-1289。Exploitability Index: 3

MS13-036 - 重要: カーネルモード ドライバーの脆弱性により、特権が昇格される (2829996)

 Windows XP、Server 2003、Vista、Server 2008、7、Server 2008 R2、8、Server 2012、RT に欠陥。 カーネルモードドライバーに計 4 件の欠陥があり、local user による権限上昇または DoS 攻撃が可能。

  • Win32k 競合状態の脆弱性 - CVE-2013-1283。Exploitability Index: 3

  • Win32k フォントの解析の脆弱性 - CVE-2013-1291。Exploitability Index: N/A

  • Win32k 競合状態の脆弱性 - CVE-2013-1292。Exploitability Index: 1

  • NTFS の NULL ポインター逆参照の脆弱性 - CVE-2013-1293。Exploitability Index: N/A

 更新プログラムは 2 種類

 関連:

2013.04.12 追記:

 KB2823324 更新プログラムの件、Microsoft 自身が「アンインストール推奨」を宣言しました。

 障害事例追加:

 あと、悪意のあるソフトウェアの削除ツールのタイトル修正も行われてますね。

2013.04.24 追記:

 KB2823324 の件、更新版の修正プログラムが KB2840149 として再リリースされました。

2013.06.27 追記:

 MS13-029 の Windows XP 用の更新プログラム 2813347 が再リリースされました。

なぜこのセキュリティ情報は 2013 年 6 月 27 日に更新されたのですか?
マイクロソフトはこのセキュリティ情報を更新し、Windows XP Service Pack 3 上のリモート デスクトップ接続 7.0 クライアント用の更新プログラム 2813347 を再リリースしました。元の更新プログラムには、特定の構成で実行されているシステムに更新プログラムが誤って再提供されるという問題があり、この再リリース版ではその問題を解決しています。マイクロソフトは影響を受けるソフトウェアを実行しているお客様に直ちに再リリース版のセキュリティ更新プログラムを適用することを推奨します。

2013.04.10

追記

#OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています!

 BHEK2を悪用した国内改ざん事件の続報 (IIJ-SECT, 2013.04.10 追記)。新しい URL パターン /[a-f0-9]{16}/ff\.php を確認したそうで。

APSB13-10: Security update: Hotfix available for ColdFusion
(Adobe, 2013.04.09)

 2 つのセキュリティ欠陥 CVE-2013-1387 CVE-2013-1388 を修正する、 ColdFusion 10、9.0.2、9.0.1、9.0 用の hotfix が用意されたそうです。

 関連: APSB13-10: ColdFusion に関するホットフィックス公開 (Adobe, 2013.04.09)。日本語抄訳版。

APSB13-12: Security update available for Adobe Shockwave Player
(Adobe, 2013.04.09)

 Windows / Mac 版 Shockwave Player 12.0.2.122 登場。4 件のセキュリティ欠陥が修正されている (任意のコードの実行を招く x 3、アドレス空間ランダム化の効果を削減する x 1)。CVE-2013-1383 CVE-2013-1384 CVE-2013-1385 CVE-2013-1386。0-day ではない模様。

 Priority rating は 1。

 関連: APSB13-12: Adobe Shockwave Player に関するセキュリティアップデート公開 (Adobe, 2013.04.09)。日本語抄訳版。

APSB13-11: Security updates available for Adobe Flash Player
(Adobe, 2013.04.09)

 Flash Player / AIR 新版登場。任意のコードの実行を招く 4 件のセキュリティ欠陥が修正されている。 CVE-2013-1378 CVE-2013-1379 CVE-2013-1380 CVE-2013-2555。 0-day ではない模様。

プラットホーム バージョン
Windows、Mac 11.7.700.169
Linux 11.2.202.280
Google Chrome 11.7.700.179 (Windows)、11.7.700.169 (Mac、Linux)
Windows 8 / Server 2012 / RT の Internet Explorer 10 11.7.700.169
Android 4.x 11.1.115.54
Android 3.x、2.x 11.1.111.50
AIR 3.7.0.1530
AIR SDK & Compiler 3.7.0.1530

 11.x を利用できない Windows、Mac、Linux 用に 10.3.183.75 も用意されている。

 Priority rating は Windows 版が 1、Mac 版が 2、他は 3。

 関連: APSB13-11: Adobe Flash Player に関するセキュリティアップデート公開 (Adobe, 2013.04.09)。日本語抄訳版。


2013.04.09

いろいろ (2013.04.09)
(various)

追記

Firefox 20.0 / 17.0.5 ESR、Thunderbird 17.0.5 / 17.0.5 ESR、SeaMonkey 2.17 公開


2013.04.08

追記

#OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています!

 この手の事例を調べてみたら、古い Parallels Plesk Panel を使っていることが多かったそうで: 旧バージョンの Parallels Plesk Panel の利用に関する注意喚起 (JPCERT/CC, 2013.04.08)。 いろいろ (2012.07.16) で紹介した件 + αなかんじ。

"XP"サポート終了で注意呼びかけ
(NHK, 2013.04.07)

 Windows XP 滅亡まであと 366 日。

千葉県佐倉市では、34ある市立の小中学校で、合わせておよそ2000台の授業用のパソコンが導入されていますが、半数の1000台ほどがまだXPのパソコンです。
しかし、今年度中には乗り換えを進めることができず、佐倉市教育委員会は対応に苦慮しています。
おととしの東日本大震災を受けて決まった学校の耐震化を再来年度までに完了するため、基本ソフトの乗り換えにかかる、合わせて5億円余りの費用を捻出できないのです。

 Windows なんかやめて Linux にすればいいのに。

佐倉市教育委員会の安西啓雄課長は、「子どもたちの命を守ることを最優先に考えると、耐震化を先に進めざるをえなかった。XPの期限切れは、学習に大きな影響を与えると考えている。私たちもあらゆる方策を講じて、学習の妨げにならないようにしたいが、マイクロソフト社も何らかの救済措置や、費用のかからない対応策を考えてほしい」と話していました。

 10 年以上維持した挙句、まだそんなことを要求されるのか……。 いや本当に、Linux にすればいいと思いますよ。Windows にこだわる必要はないでしょう。

 詳細: Windows XP および、Office 2003 のサポート終了についてのご案内 (Microsoft)


2013.04.05

追記

Upcoming PostgreSQL Security Release: April 4, 2013

 出ました: PostgreSQL 9.2.4, 9.1.9, 9.0.13 and 8.4.17 released (PostgreSQL, 2013.04.04)。5 件のセキュリティ欠陥が修正されているが、大物は CVE-2013-1899 だそうで。

A major security issue fixed in this release, CVE-2013-1899, makes it possible for a connection request containing a database name that begins with "-" to be crafted that can damage or destroy files within a server's data directory. Anyone with access to the port the PostgreSQL server listens on can initiate this request. This issue was discovered by Mitsumasa Kondo and Kyotaro Horiguchi of NTT Open Source Software Center.

 PostgreSQL サーバーポートに接続できる誰もが、- を含む名前のデータベースへの接続要求を行い、サーバーのデータディレクトにあるファイルを破壊したり消したりできる欠陥ですか。 NTT OSS センターの方が発見と。

 その他、 CVE-2013-1900 CVE-2013-1901 CVE-2013-1902 CVE-2013-1903 の 4 つ。

マイクロソフト セキュリティ情報の事前通知 - 2013 年 4 月
(Microsoft, 2013.04.05)

 うわもうそんな季節。緊急 x 2、重要 x 7。 IE あり、Office あり (InfoPath, Office Web Apps)、SharePoint あり。 Windows 8、Windows RT の Windows Defender にも欠陥があるそうで。

 関連: 2013 年 4 月 10 日のセキュリティ リリース予定 (月例)

Opera 12.15 Final released
(Opera, 2013.04.04)

 Opera 12.15 登場。3 件のセキュリティ欠陥が修正されています。 内 1 件は RC4 への対応。

 iida さん情報ありがとうございます。


2013.04.04


2013.04.03

いろいろ (2013.04.03)
(various)

追記

Upcoming PostgreSQL Security Release: April 4, 2013

Firefox 20.0 / 17.0.5 ESR、Thunderbird 17.0.5 / 17.0.5 ESR、SeaMonkey 2.17 公開
(Mozilla, 2013.04.02)

 出ました。計 11 件のセキュリティ欠陥が修正されています。

 関連:

2013.04.09 追記:

 関連: Firefox for Android のディレクトリパーミッションの問題に関する報告 (FFRI blog, 2013.04.08)


2013.04.02


2013.04.01

Upcoming PostgreSQL Security Release: April 4, 2013
(PostgreSQL, 2013.03.28)

 2013.04.04 (木) (たぶん米国時間) に「high-exposure」なセキュリティ欠陥の更新を行う予定だそうです。関連:

2013.04.03 追記:

 Heroku、全ユーザーにPostgreSQLのセキュリティーアップデートを強制適用 (techcrunch, 2013.04.02)。かなりヤバそう。

2013.04.05 追記:

 出ました: PostgreSQL 9.2.4, 9.1.9, 9.0.13 and 8.4.17 released (PostgreSQL, 2013.04.04)。5 件のセキュリティ欠陥が修正されているが、大物は CVE-2013-1899 だそうで。

A major security issue fixed in this release, CVE-2013-1899, makes it possible for a connection request containing a database name that begins with "-" to be crafted that can damage or destroy files within a server's data directory. Anyone with access to the port the PostgreSQL server listens on can initiate this request. This issue was discovered by Mitsumasa Kondo and Kyotaro Horiguchi of NTT Open Source Software Center.

 PostgreSQL サーバーポートに接続できる誰もが、- を含む名前のデータベースへの接続要求を行い、サーバーのデータディレクトにあるファイルを破壊したり消したりできる欠陥ですか。 NTT OSS センターの方が発見と。

 その他、 CVE-2013-1900 CVE-2013-1901 CVE-2013-1902 CVE-2013-1903 の 4 つ。

追記

CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる


[セキュリティホール memo]
[私について]