セキュリティホール memo - 2021.08

Last modified: Wed Sep 15 14:54:03 2021 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.08.31

いろいろ (2021.08.31)
(various)

VMware vRealize Operations、Cloud Foundation、vRealize Suite Lifecycle Manager


2021.08.30


2021.08.27


2021.08.26

いろいろ (2021.08.26)
(various)

Sony Audio USB Driver、HAP Music Transfer


2021.08.25

いろろ (2021.08.25)
(various)

FreeBSD

OpenSSL Security Advisory [24 August 2021]
(OpenSSL, 2021.08.24)

 2 件のセキュリティ欠陥。

 OpenSSL 1.1.1l (1.1.1 エル) および 1.0.2za (有償サポートでのみ提供) で修正されている。 iida さん情報ありがとうございます。

 関連:


2021.08.23

追記

JPCERT/CC Alert: ISC BIND 9の脆弱性(CVE-2021-25218)に関する注意喚起 (2021.08.19)

 BIND 9.16.19 / 9.17.16 には欠陥があり、9.16.20 / 9.17.17 がリリースされたそうです。

2021 年 8 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.08.11)

 ようやく書きはじめるというていたらく。ひどい。

 PrintNightmare 方面つづき:

 不具合情報:

2021.09.15 追記:

 CVE-2021-369582021 年 9 月のセキュリティ更新プログラム (月例) で修正されました。


2021.08.20

いろいろ (2021.08.20)
(various)

Node.js

Adobe 方面 (Adobe Connect、Magento、Captivate、XMP Toolkit SDK、Photoshop、Bridge、Media Encoder)
(Adobe, 2021.08.10)

 出てました。

Realtekの無線機器向けSDKに複数の脆弱性。Wi-Fiルーターなど数十万台に影響か
(PC Watch, 2021.08.19)

 Realtek AP-Router SDK に 4 件のセキュリティ欠陥。

 Realtek AP-Router SDK Advisory に記載されている、欠陥のあるバージョン:

rtl819x-SDK-v3.2.x Series
rtl819x-SDK-v3.4.x Series
rtl819x-SDK-v3.4T Series
rtl819x-SDK-v3.4T-CT Series
rtl819x-eCos-v1.5.x Series

 上記については patch が提供されている模様。

CVE-2021-35392/CVE-2021-35393/CVE-2021-35394
20210622_sdk_3.2.3_wsc_binary_and_mp_daemon_patch.tar.gz
20210622_sdk_3.4.11E_wsc_binary_and_mp_daemon_patch.tar.gz
20210705_sdk-v3.4t_pre5_wsc_binary_and_mp_daemon_patch.tar.gz
20210622_sdk-v3.4t_pre7_wsc-upnp-mp.tgz
20210701_ecosV1.5.3_patch_for_fixing_vulnerabiits.tar.gz

VE-2021-35395
20210608_release_v3.2.3_patch_for_fix_buffer_overflow_of_boa.tar.gz
20210608_release_v3.4.11_patch_for_fix_buffer_overflow_of_boa.tar.gz
20210608_release_v3.4T-CT_patch_for_fix_buffer_overflow_of_boa.tar.gz
20210701_ecosV1.5.3_patch_for_fixing_vulnerabiits.tar.gz

 一方、欠陥発見者による Advisory: Multiple Issues in Realtek SDK Affects Hundreds of Thousands of Devices Down the Supply Chain (IoT Inspector, 2021.08.16) によると

Vulnerable version:
Realtek SDK v2.x
Realtek “Jungle” SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT
Realtek “Luna” SDK up to version 1.3.2

Fixed version:
Realtek SDK branch 2.x: no longer supported by Realtek.
Realtek “Jungle” SDK: patches will be provided by Realtek and needs to be backported.
Realtek “Luna” SDK: version 1.3.2a contains fixes.

 SDK v2.x と Jungle SDK v3.[01] についてはサポート対象外の模様。

 Advisory: Multiple Issues in Realtek SDK Affects Hundreds of Thousands of Devices Down the Supply Chain (IoT Inspector, 2021.08.16) には対象機器の一覧があり、 Buffalo、ELECOM、I-O DATA、Logitec といった名前もある。 ここにリストされている機器が修正され (てい) るのかどうかは不明。


2021.08.19

Apple 方面 (iTunes for Windows、iCloud for Windows)
(Apple, 2021.08.09)

 出てました。

Firefox 91.0 / ESR 91.0 / ESR 78.13.0、Thunderbird 78.13.0 / 91.0 公開
(Mozilla, 2021.08.10)

 出ました。セキュリティ修正を含みます。

 その後さらに Firefox 91.0.1 / ESR 91.0.1 / Android 版 91.2.0、Thunderbird 91.0.1 が出ています。 セキュリティ修正を含みます。

 Release Management/Release owners (Mozilla Wiki) を見る限りでは、Firefox ESR 78 系列は 78.15 まで出るようです。

Chrome Stable Channel Update for Desktop
(Google, 2021.08.16)

 Chrome 92.0.4515.159 公開。9 件のセキュリティ修正を含む。

JPCERT/CC Alert: ISC BIND 9の脆弱性(CVE-2021-25218)に関する注意喚起
(JPCERT/CC, 2021.08.19)

 BIND 9.16.19 / 9.16.19-S1 / 9.17.16 に欠陥。DNS Response Rate Limiting (DNS RRL) の実装に欠陥があり、 「DNS RRL が有効」かつ 「送信先ネットワークインターフェイスの MTU よりも大きなサイズで UDP 応答」 する場合に named が異常終了する。

 DNS RRL は IN (internet) クラスではデフォルト無効だが、version.bind ゾーンなどが属する CH (chaos) クラスでは有効になっている。

 BIND 9.16.20 / 9.16.20-S1 / 9.17.17 で修正されている。また RRL を無効化することで回避できる。 RRL 無効化設定の詳細は CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19 and 9.17.16 require UDP fragmentation if RRL is in use (ISC, 2021.08.18) を参照。

2021.08.23 追記:

 BIND 9.16.19 / 9.17.16 には欠陥があり、9.16.20 / 9.17.17 がリリースされたそうです。


2021.08.18


2021.08.16


2021.08.06


2021.08.05


2021.08.04


2021.08.03

追記

2021 年 7 月のセキュリティ更新プログラム (月例) (2021.07.14)

 関連:

いろいろ (2021.08.03)
(various)

Node.js

Android

OpenWRT

Zope

PowerDNS Authoritative Server

Drupal

Chrome 92.0.4515.131 公開
(Google, 2021.08.02)

 Chrome 92.0.4515.131 公開されました。10 件のセキュリティ修正を含みます。$20000 x 2、 $10000 x 1。


2021.08.02


[セキュリティホール memo]
[私について]