セキュリティホール memo

Last modified: Mon Apr 15 16:04:51 2024 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2024.04.15

CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect
(Palo Alto Networks, 2024.04.12)

 Palo Alto Networks PAN-OS 10.2 / 11.0 / 11.1 系列に 0-day 欠陥。 GlobalProtect gateway および/または GlobalProtect portal が有効で、かつ device telemetry が有効な場合に、remote から無認証で任意のコードをファイアウォールの root 権限で実行できる。 CVE-2024-3400。 この欠陥は Cloud NGFW、Panorama アプライアンス、Prisma Access には影響しない。

 JPCERT/CC の Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (JPCERT/CC, 2024.04.15) によると、device telemetry は対象 OS のほとんどのバージョンでデフォルト有効となっている模様。

Palo Alto Networksのページによると、下記バージョンではデバイステレメトリ機能がデフォルトで有効とのことです。

(デバイステレメトリ機能がデフォルトで有効であるPAN-OSのバージョン)
- PAN-OS 11.0系、11.1系:11.0.1およびそれ以降のバージョン
- PAN-OS 10.2系:10.2.4およびそれ以降のバージョン

Palo Alto Networks
Device Telemetry Overview
(PAN-OS 11.1)
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/device-telemetry/device-telemetry-overview
(PAN-OS 11.0)
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-overview
(PAN-OS 10.2)
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/device-telemetry/device-telemetry-overview

 緩和策としては、Threat Prevention サブスクリプション加入者には Threat ID 95187 を使って抑止することが推奨されている。 非加入の場合は、 device telemetry を無効にすることで抑止できる。

 修正版 PAN-OS も一部リリースし始められており、今週中にはリリースされる模様。

 関連:


2024.04.12


()

JVNVU#99012560 複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備
(JPCERT/CC, 2024.04.09)

 あぁ、これ一連のものだったのですね。 詳細: HTTP/2 CONTINUATION Flood: Technical Details (nowotarski.info, 2024.04.03)

Chrome Stable Channel Update for Desktop
(Google, 2024.04.10)

 Chrome 123.0.6312.122/.123 (Windows) 123.0.6312.122/.123/.124 (Mac) 123.0.6312.122 (Linux) 公開。3 件のセキュリティ修正を含む。関連:


2024.04.11

2024 年 4 月のセキュリティ更新プログラム (月例)
(Microsoft, 2024.04.09)

 Microsoft 2024.04 patch 出ました。 149 MS CVE + 6 non-MS CVE (Intel x 1, lenovo x 2, Crome x 3)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day はこちら:

 patch を当てただけでは適用されない件:

2024.04.12 追記:

 不具合情報:

 今のところ、大物は無いみたい。


2024.04.10

いろいろ (2024.04.10)
(various)

X.Org X server / Xwayland

Envoy

Rust

Go

NEC Aterm

  • 「Aterm」シリーズのWi-Fiルーターなど59製品に複数の脆弱性。対策や買い替えの検討を (Internet Watch, 2024.04.09)

    次の2製品については、悪意ある第三者が製品にアクセスした場合に、telnet経由で任意のコマンドが実行される可能性、および、任意のコマンドが実行されたり、装置名などの装置情報が読み取られる可能性があるとして、管理者パスワードの変更と、Wi-Fiネットワーク側のセキュリティ強化を行うようにとしている。
    • WG1810HP(JE)
    • WG1810HP(MF)
    次の8製品については、サポートが終了しているため、買い替えの検討を推奨している。
    • WM3400RN
    • WM3450RN
    • WM3500R
    • WM3600R
    • WM3800R
    • WR8166N
    • MR01LN
    • MR02LN

OpenSSL


2024.04.09


2024.04.08


2024.04.05

いろいろ (2024.04.05)
(various)

Apache HTTPd

Android

Node.js

Chrome Stable Channel Update for Desktop
(Google, 2024.04.02)

 Chrome 123.0.6312.105/.106/.107 (Windows / Mac) および 123.0.6312.105 (Linux) 出てたんですね。 Pwn2Own 2024 の件含む 3 件のセキュリティ修正を含む。


2024.04.04

追記

脅威に関する情報: 複数の Linux ディストリビューションに影響を与える XZ Utils データ圧縮ライブラリーの脆弱性 (CVE-2024-3094) (2024.04.02)

 FreeBSD は影響なしだそうです。

  • Disclosed backdoor in xz releases - FreeBSD not affected (freebsd-security ML, 2024.03.29)

    The main, stable/14, and stable/13 branches do include the affected version (5.6.0), but the backdoor components were excluded from the vendor import. Additionally, FreeBSD does not use the upstream's build tooling, which was a required part of the attack. Lastly, the attack specifically targeted x86_64 Linux systems using glibc.

2024.04.03


2024.04.02

脅威に関する情報: 複数の Linux ディストリビューションに影響を与える XZ Utils データ圧縮ライブラリーの脆弱性 (CVE-2024-3094)
(paloaltonetworks unit42, 2024.03.31)

 XZ Utils 5.6.0 / 5.6.1 に難読化されたバックドアが仕掛けられており、 liblzma を利用するアプリケーション (例: SSH) を通じて侵害を行うことが可能。 CVE-2024-3094

 XZ Utils 5.6.0 / 5.6.1 が比較的最近リリースされたもの (5.6.0: 2024.02.24、5.6.1: 2024.03.09) であったため、 主要な Linux ディストリビューションの安定版にはまだ採用されていなかった。

 macOS 方面の Homebrew / MacPorts にも影響あったようで。

 関連:

2024.04.04 追記:

 FreeBSD は影響なしだそうです。


過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]