セキュリティホール memo

Last modified: Fri Aug 23 19:20:52 2019 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2019.08.23

「rest-client」など11のRubyライブラリにバックドアが発見される
(ZDNet, 2019.08.21)

 rest-client をはじめとする 11 の Ruby ライブラリが改ざんされ、バックドアを仕掛けられていたのだそうで。

 この攻撃を実行した人物は、1カ月以上前から活動していたが、その活動は発見されずにいた。
 しかし、このハッカーがあるrest-clientの開発者のRubyGemsアカウントへのアクセスを獲得し、このアカウントを使用して悪質なバージョンのrest-clientをRubyGemsにプッシュすると、状況は変わった。
 これまで1億1300万回もダウンロードされている有名なプロジェクトをターゲットにしたことで、このハッカーの活動は明るみになり、問題のライブラリは、rest-clientのライブラリに悪質なコードが発見されてから数時間以内に削除された。

 “多くの目”はひきつづき有効ということかな。

 関連: 週刊Railsウォッチ(20190821-2/2後編)11のgemにバックドア、ruby-jp Slackがとてもアツい、Fullstaq Rubyでチューンアップ、HTTPサービス監視chaoほか (TechRacho, 2019.08.21)

CVE-2019-15107: Exploit Modules Available for Remote Code Execution Vulnerability in Webmin
(tenable, 2019.08.19)

 Webmin 1.882〜1.921 に、無認証で remote から任意のコードを実行できる欠陥。 特に Webmin 1.890 においては、デフォルト設定で欠陥が有効。 その他においては、user password change オプションを有効にした場合に欠陥が発現。 CVE-2019-15231

 Webmin 1.930 で修正されている。また Webmin 1.900〜1.920 の場合は、 /etc/webmin/miniserv.conf から passwd_mode= 行を削除した後に /etc/webmin/restart することで回避できる。


2019.08.22

いろいろ (2019.08.22)
(various)

富士電機 Alpha5 Smart Loader

三菱電機 smartRTU、INEA ME-RTU

キヤノン製デジタルカメラ (EOSシリーズ、PowerShot SX70HS / SX740HS / G5XMarkII)

ClamAV

追記

VU#605641 - HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion (2019.08.20)

 About the security content of SwiftNIO HTTP/2 1.5.0 (Apple, 2019.08.13) と iida さんへの謝辞を追加。

2019 年 8 月のセキュリティ更新プログラム (月例) (2019.08.19)

 SEP 14.2 RU1 MP1 (14.2.4814.1101) が MySymantec で公開されました。

 Windows 7 で SEP 14.2 RU1 MP1 (14.2.4814.1101) にアップデートしたところ、こんな感じで更新プログラムが現れることを確認しました。


2019.08.21


2019.08.20

いろいろ (2019.08.20)
(various)

F5 Big-IP

VLC media player

Apache HTTPd 2.4

VU#605641 - HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion
(US-CERT, 2019.08.13)

 複数の HTTP/2 実装に DoS 攻撃を受ける複数の欠陥。iida さん情報ありがとうございます。 Affected として記載されているのは以下:

2019.08.22 追記:

 About the security content of SwiftNIO HTTP/2 1.5.0 (Apple, 2019.08.13) と iida さんへの謝辞を追加。

追記

いろいろ (2019.08.09) Cylance PROTECT

「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)

 「Firefox」v68.0.2が公開 ~5件の不具合と1件の脆弱性が修正 (窓の杜, 2019.08.19)、 Firefox 68.0.2、Firefox for Android 68.0.2 がリリースされた (MozillaZine, 2019.08.16)。リリースは 2019.08.14 付。

Firefox ESR 60.8.0 はこの問題の影響を受けない

2019 年 8 月のセキュリティ更新プログラム (月例)

 VB の件、Windows 10 バージョン 1803 用の patch が出たそうです。


2019.08.19

Adobe 方面 (After Effects CC, Character Animator CC, Premiere Pro CC, Prelude CC, Creative Cloud Desktop Application, Acrobat and Reader, Experience Manager, Photoshop CC)
(Adobe, 2019.08.13)

 たくさん出ました。

DLL hijacking の修正

Creative Cloud Desktop Application

Acrobat / Reader

  • Security bulletin for Adobe Acrobat and Reader | APSB19-41 (Adobe, 2019.08.13)

    Acrobat / Reader for Windows/macOS に 76 件の欠陥、以下のバージョンで修正。

    種別 更新版
    Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.012.20036
    Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30144
    Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30499

    Priority Rating: 2

Experience Manager

Photoshop CC

2019 年 8 月のセキュリティ更新プログラム (月例)
(Microsoft Security Response Center, 2019.08.14)

 出ました。 IE / Edge, Windows, Office, ChakraCore, Visual Studio, Online Services, Active Directory, Microsoft Dynamics

 リモートデスクトップ方面のヤバい欠陥の修正が含まれるのだそうで:

 ただし、セキュリティ更新を適用すると VisualBasic 方面でマクロやアプリが動作しなくなる不具合が発生。Windows 7 / 8.1、Windows 10 バージョン 1507 / 1607 / 1703 / 1709 / 1809、Windows Server 2008 R2 / 2012 / 2012 R2 / 2019 には patch が用意されている。 Windows 10 バージョン 1803 / 1903 用 patch はまだ出ていない。

 上記 patch は、手動での個別ダウンロード・適用が必要みたい。

 また、今回から Windows 7 / Server 2008 R2 用 patch の署名が SHA-2 のみになったが、Symantec Endpoint Protection においてこれに伴う不具合が発生している模様。 patch はまだ出ていない。

 その他、不具合まとめ:

2019.08.20 追記:

 VB の件、Windows 10 バージョン 1803 用の patch が出たそうです。

2019.08.22 追記:

 SEP 14.2 RU1 MP1 (14.2.4814.1101) が MySymantec で公開されました。

 Windows 7 で SEP 14.2 RU1 MP1 (14.2.4814.1101) にアップデートしたところ、こんな感じで更新プログラムが現れることを確認しました。


2019.08.12

 すいません、法定点検に伴う停電により 09 時くらいから 17 時くらいまで止まってました。


2019.08.09

The Fully Remote Attack Surface of the iPhone
(Google Project Zero, 2019.08.07)

 Karma でも大活躍したという iMessage についての記述量が圧倒的に多いのが興味深い。

Stable Channel Update for Desktop
(Google, 2019.08.06)

 Chrome 76.0.3809.100 公開。4 件のセキュリティ修正を含む。

いろいろ (2019.08.09)
(various)

Jenkins plugins

D-Bus

Apache Subversion

Django

PostgreSQL

ClamAV

Cylance PROTECT

2019.08.20 追記:

VMware ESXi, Workstation, Fusion


2019.08.06

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

いろいろ (2019.08.06)
(various)

Kubernetes

PHP

 セキュリティ修正を含みます。

NVIDIA ディスプレイドライバー

Google、Androidの2019年8月セキュリティ情報を発表
(窓の杜, 2019.08.06)

 security patch level 2019-08-01 および 2019-08-05。


2019.08.05

Symantec Endpoint Protection Privilege Escalation - SYMSA1487
(Symantec, 2019.07.31)

 Symantec Endpoint Protection (SEP) および Symantec Endpoint Protection Small Business Edition (SEP SBE) に欠陥。権限上昇を招く欠陥がある。 「アプリケーションとデバイス制御」コンポーネントを削除することで回避できる。

 SEP 14.2 RU1 および SEP SBE 12.1 RU6 MP10c (12.1.7491.7002) で修正されている。 SEP 12 系列にもこの欠陥があるが、SEP 12 系列の更新はリリースされないっぽい。

Chrome Stable Channel Update for Desktop
(Google, 2019.07.30)

 そういえば Chrome 76.0.3809.87 が出ていたのでした。43 件のセキュリティ修正を含みます。


2019.08.02

いろいろ (2019.08.02)
(various)

ProFTPd mod_copy

PowerDNS Authoritative Server

  • PowerDNS Security Advisory 2019-06: Denial of service via crafted zone records (PowerDNS, 2019.07.30)。 CVE-2019-10203。 「Affects: PowerDNS Authoritative 4.0.0 and up, when using the gpgsql (PostgreSQL) backend」。4.2.0, 4.1.11, 4.0.9 では修正されているそうです。 ただし影響を受けるバージョンを利用している場合は、ソフトウェアの更新ではなく、 PostgreSQL スキーマの手動変更が必要だそうで:

    Upgrading is not enough - you need to manually apply the schema change:
    ALTER TABLE domains ALTER notified_serial TYPE bigint USING CASE WHEN notified_serial >= 0 THEN notified_serial::bigint END;

OpenSSL

  • OpenSSL Security Advisory [30 July 2019] (OpenSSL, 2019.07.30)。Windows builds with insecure path defaults (CVE-2019-1552) (Severity: Low) だそうで。OpenSSL 1.1.1, 1.1.0, 1.0.2 に影響。 Low なので、次のリリース時に修正される。開発コードは既に修正されている。

    iida さん情報ありがとうございます。

  • Security restrictions bypass in OpenSSL for Windows (cybersecurity-help.cz, 2019.07.30)。External links に git.openssl.org へのリンクがあります。

追記

7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点 (2019.07.04)

 オムニ7アプリのソースが GitHub で公開されていた模様 (Business Insider が 7/24 付で報道)。

  • 【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか (Business Insider, 2019.07.24)

    ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
    ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。

    以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。
  • 「オムニ7」アプリのソースコードが流出、7payに続き新たな問題発覚 (日経 xTECH, 2019.07.24)

 7iD、全ユーザーのパスワードをリセット (7/30)。

 7pay、9/30 でサービス終了を発表 (8/1)。

 悲惨の極みですが、コンビニ 24 時間営業問題における 7-11 経営陣の時代錯誤感と通ずるものを感じるんだよなあ。

 あと、以下の件は、7pay 自身が終了しちゃうので、結果としてどうでもよくなっちゃいそう:


2019.08.01


過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]