セキュリティホール memo - 2019.04

Last modified: Mon Mar 30 12:18:31 2019 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2019.04.30


2019.04.29

Oracle WebLogic Server の脆弱性 (CVE-2019-2725) に関する注意喚起
(JPCERT/CC, 2019.04.28)

 WebLogic に 0-day 欠陥 CVE-2019-2725。PoC が公開され、実際に攻撃が行われていることを確認済。 WebLogic 10.3.6 / 12.1.3 用の patch が公開されている。


2019.04.26

BIND 9.x 脆弱性 2 件
(JPRS, 2019.04.25)

 出ました。

追記

新元号「令和」への対応まとめ (2019.04.01)

 多くの会社では、今日が最後の平成営業日ですか。 龍大は 4/29 も 4/30 もふつうに授業実施日なんですよね。


2019.04.24

Norton SEP Multiple Issues
(Symantec, 2019.04.23)

 Norton Security for Windows, SEP for Windows / Mac 等に複数の欠陥があるという話。Norton Security for Windows 22.16.3、SEP 14.2 RU1 等で修正されている。

 どうやら SEP 14.2 RU1 が出たっぽい。

Chrome Stable Channel Update for Desktop
(Google, 2019.04.23)

 Chrome 74.0.3729.108 が stable に。39 件のセキュリティ修正を含む。

追記

新元号「令和」への対応まとめ (2019.04.01)

 来週の水曜日は令和です。

  • Windowsの令和対応パッチ配信が始まらず、10連休に間に合わない懸念も (日経 xTECH, 2019.04.22 18:16)

    日本マイクロソフト (中略) は「現在、米国の技術チームが準備を進めているところで、まだ配信時期は確定していない。22日中の配信開始はない。10連休に入る前の26日までの配信開始を目指している」(広報)

    世の中こんなもん。 まあ、1 か月しか猶予を設けなかった馬鹿政府がそもそも悪いのだけど。

黒塗りのDNS (萎縮編) ~共用サービスの闇~
(e-ontap.com, 2019.04.23)

 世の中には、当該ドメイン名を保有していなくても勝手にゾーンを作成できてしまう共用 DNS 権威サーバーというものが存在する模様。まじか。うひー。

 関連:


2019.04.23


2019.04.22


2019.04.19

追記

Oracle Critical Patch Update Advisory - April 2019 (2019.04.17)

 Oracle Java SEの有償化に伴うOpenJDKへの切り替えの案内 (京都教育大学)。まとまっていて、わかりやすい文書。

OpenSSH 8.0 was released
(OpenSSH, 2019.04.17)

 OpenSSH 8.0 出ました。戸井さん情報ありがとうございます。

This release contains mitigation for a weakness in the scp(1) tool and protocol (CVE-2019-6111): when copying files from a remote system to a local directory, scp(1) did not verify that the filenames that the server sent matched those requested by the client. This could allow a hostile server to create or clobber unexpected local files with attacker-controlled content.

This release adds client-side checking that the filenames sent from the server match the command-line request,

The scp protocol is outdated, inflexible and not readily fixed. We recommend the use of more modern protocols like sftp and rsync for file transfer instead.

 関連: scp client multiple vulnerabilities (sintonen.fi)


2019.04.18

いろいろ (2019.04.18)
(various)

Drupal

AdBlock, Adblock Plus, uBlock

RubyGems

VU#166939 - Broadcom WiFi chipset drivers contain multiple vulnerabilities
(US-CERT, 2019.04.17)

 Broadcom の無線 LAN チップセット用ドライバーに欠陥。 Broadcom 製 wl ドライバー、およびオープンソースで開発された brcmfmac ドライバーにそれぞれ個別のセキュリティ欠陥が複数あり、 remote から DoS 攻撃や任意のコードを実行できる。

 brcmfmac ドライバーには修正が施された。wl ドライバーにはまだみたい。


2019.04.17

いろいろ (2019.04.17)
(various)

Confluence Server, Confluence Data Center

Visual CSS Style Editor (WordPress プラグイン)

  • WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 (徳丸浩の日記, 2019.04.17)。7.2.0 以降で修正されている。

    複数の問題が組み合わさって攻撃が可能になっていますが、とくに、yp_remote_get_first()関数内で、特定のGETパラメータを指定すると一時的に管理者になる(厳密にはid=1のユーザになる)機能が実装されていることが原因のようです。この機能の意図はよくわかりませんが、表面上は開発者が仕込んだバックドアのように見えます。

Evernote for Windows

Internet Explorer 11

カスペルスキー インターネット セキュリティ 2019

Oracle Critical Patch Update Advisory - April 2019
(Oracle, 2019.04.16)

 Oracle 四半期アップデート来ました。Java や VirtualBox も更新されています。

 なお、Oracle Java についてはライセンスが変更されたので注意が必要です。

 ひっかかる場合は、Oracle の商用ライセンスを買うか、あるいは OpenJDK に移行することになるのでしょう。

 リンク:

 手元の機械には、とりあえず Zulu を入れてみた (8u212 が公開されていたので)。

2019.04.19 追記:

 Oracle Java SEの有償化に伴うOpenJDKへの切り替えの案内 (京都教育大学)。まとまっていて、わかりやすい文書。


2019.04.16

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

2019 年 4 月のセキュリティ更新プログラム (月例) (2019.04.11)


2019.04.15

Wi-Fiセキュリティの新規格「WPA3」に脆弱性が発見される
(gigazine, 2019.04.11)

 オリジナルはこちらから: Dragonblood - Analysing WPA3's Dragonfly Handshake (wpa3.mathyvanhoef.com)。 WPA2 へのダウングレード攻撃が可能な上に、サイドチャンネルからパスワード関連情報が漏洩するため、辞書攻撃に類似した攻撃が可能。

Our downgrade attack enables an adversary to force a client to partly execute WPA2's 4-way handshake, which can subsequently be used to perform a traditional brute-force attack against the partial WPA2 handshake. Additionally, we also discovered downgrade attacks against the Dragonfly handshake itself, which can be abuse to force a victim into using a weaker elliptic curve than it would normally use.

Our side-channel attacks target Dragonfly's password encoding method. The cache-based attack exploits Dragonflys's hash-to-curve algorithm, and our timing-based attack exploits the hash-to-group algorithm. The information that is leaked in these attacks can be used to perform a password partitioning attack, which is similar to a dictionary attack. The resulting attacks are efficient and low cost. For example, to brute-force all 8-character lowercase passwords, we require less than 40 handshakes and 125$ worth of Amazon EC2 instances.

 世の中きびしい。

追記

2019 年 4 月のセキュリティ更新プログラム (月例) (2019.04.11)


2019.04.12


2019.04.11

追記

ラブライブ公式ドメイン乗っ取り事件 (2019.04.08)

いろいろ (2019.04.11)
(various)

Wireshark

Symantec Endpoint Encryption

Symantec VIP Enterprise Gateway

Adobe Dreamweaver

Adobe XD

Adobe InDesign

Adobe Experience Manager Forms

Adobe Bridge CC

Security update available for Adobe Shockwave Player | APSB19-20
(Adobe, 2019.04.09)

 Adobe Shockwave Player for Windows 12.3.5.205 公開。7 件のセキュリティ欠陥を修正。Priority: 2

 Shockwave Player for Windows のサポートはこれで終了

Security updates available for Adobe Acrobat and Reader | APSB19-17
(Adobe, 2019.04.09)

 21 件のセキュリティ欠陥を修正。Priority: 2

種別 更新版
Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.010.20099
Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30138
Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30493

Updates available for Adobe Flash Player | APSB19-19
(Adobe, 2019.04.09)

 Flash Player 32.0.0.171 公開。2 件のセキュリティ欠陥 CVE-2019-7108 CVE-2019-7096 を修正。Priority: 2 (Linux 版は 3)。

2019 年 4 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2019.04.10)

 出ました。Flash Player, IE / Edge, Windows, Office, ChakraCore, ASP.NET, Exchange, Team Foundation Server, Azure DevOps Server, Open Enclave SDK, Windows Admin Center 。

2019.04.15 追記:

 複数の会社のアンチウイルスソフトで不具合が発生するそうで:

 アンチウイルス各社からの情報:

 報道:

2019.04.16 追記:

 2019年4月パッチを適用したWindows 7/8.1が応答不能に ~一部セキュリティ製品と非互換問題  Sophos、Avira、AVGに影響。Avastでは緊急アップデートが実施される (窓の杜, 2019.04.16)

Vulnerability in closed plugin Yuzo Related Posts
(stackoverflow, 2019.04.11)

 メンテナンスが終了している WordPress 用プラグイン yuzo-related-post に XSS 欠陥があり、悪用されてハクられる事例が各地で発生している模様。

 インストールしている方は、今すぐ削除しましょう。


2019.04.10


2019.04.09

いろいろ (2019.04.09)
(various)

Samba

Apache HTTP Server

GNU Wget

GnuTLS

IE / Edge


2019.04.08

ラブライブ公式ドメイン乗っ取り事件
(various, 2019.04.05)

 項目立てておいた方がよさそうなので、立てておきます。

2019.04.11 追記:

 「ラブライブ!」乗っ取りを“教訓”に ドメイン名の価値に見合った管理方法 (高橋睦美 / ITmedia, 2019.04.11)


2019.04.05


2019.04.04

いろいろ (2019.04.04)
(various)

Huawei PCManager

Android

UC Browser


2019.04.03

追記

新元号「令和」への対応まとめ (4/1)


2019.04.01

新元号「令和」への対応まとめ
(various)

 とりあえずつくっておく。

2019.04.03 追記:

 関連:

2019.04.18 追記:

 関連:

2019.04.24 追記:

 来週の水曜日は令和です。

2019.04.26 追記:

 多くの会社では、今日が最後の平成営業日ですか。 龍大は 4/29 も 4/30 もふつうに授業実施日なんですよね。

2019.05.02 追記:

 令和 2 日目。龍大は昨日も今日も授業実施日です。

2019.05.06 追記:

 10 連休最終日? 龍大は今日も授業実施日です。

 あと、Windows 方面で画面が崩れるという話があるようです。 MS UI Gothic、MS Pゴシックで問題が起こるようです。

追記

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, Xcode, iTunes for Windows, iCloud for Windows) (2019.03.25)

 About the security content of Security Update 2019-002 High Sierra and Security Update 2019-002 Sierra (Apple, 2019.03.30)。Security Update 2019-002 の新版が出たっぽいです。 うまくアップデートできない事例が多数発生したのかな。 いやいやそれよりも、

  • The latest build number for macOS version 10.13 High Sierra is 17G6030.
  • The latest build number for macOS version 10.12 Sierra is 16G1918.
These builds restore a number of security fixes that were missing from the previous build.

 前の版には修正漏れがあったと!!! うひー。


[セキュリティホール memo]
[私について]