セキュリティホール memo

Last modified: Fri Dec 2 18:21:01 2022 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2022.12.02

Apple、「iOS 16.1.2」を公開 ~衝突事故検出機能が最適化、セキュリティ修正も
(窓の杜, 2022.12.01)

 https://support.apple.com/en-us/HT201222 では「details available soon 」 となっている。「This update has no published CVE entries」ではないことから、何らかのセキュリティ修正がなされている模様。

追記

Firefox 107.0 / ESR 102.5.0、Firefox for Android 107、Thunderbird 102.5.0 公開 (2022.11.16)

 Thunderbird 102.5.1 出ました。セキュリティ修正を含みます。


2022.11.30

いろいろ (2022.11.30)
(various)

VLC Media Player

Chrome Stable Channel Update for Desktop
(Google, 2022.11.29)

 Chrome 108.0.5359.71 (Mac/linux) および 108.0.5359.71/72 (Windows) が stable に。 28 件のセキュリティ修正を含む。

追記

Firefox 107.0 / ESR 102.5.0、Firefox for Android 107、Thunderbird 102.5.0 公開 (2022.11.16)

 Firefox 107.0.1 出ました。セキュリティ修正は含みません。


2022.11.29


2022.11.28

Chrome Stable Channel Update for Desktop
(Google, 2022.11.24)

 Chrome 107.0.5304.121 for Mac / Linux、 Chrome 107.0.5304.121/.122 for Windows 公開。 0-day 欠陥 CVE-2022-4135 が修正されている。

追記

2022 年 11 月のセキュリティ更新プログラム (月例) (2022.11.09)

 2022年11月のパッチで「lsass.exe」にメモリリーク ~Windows Serverの一部バージョンで  Microsoftが回避策を案内 (窓の杜, 2022.11.25)、 Windows Serverにメモリリークの不具合。サーバーが応答しなくなったり再起動が発生。2022年11月9日以降のWindowsUpdateに起因 (ニッチなPCゲーマーの環境構築Z, 2022.11.28)

当面の回避策としては、以下のコマンドを実行してレジストリキー「KrbtgtFullPacSignature」を「0」に設定するのが有効。 ただし、この問題が解決され次第、「KrbtgtFullPacSignature」をより高い値へ戻す必要がある。

2022.11.24

いろいろ (202.11.24)
(various)

iTerm2

  • Stable Releases (iterm2.com)。2022.11.15 に 3.4.18 がリリースされている。

    3.4.18
    - Change DECRQSS response to patch a security hole.
  • CVE-2022-45872

Spotify Backstage (開発ツール)

Ruby cgi gem

2022.11.28 追記:

Zoom (Windows 版 32bit クライアント)

Samba 4.17.3, 4.16.7 and 4.15.12 Security Releases are available for Download
(Samba, 2022.11.15)

 Samba 4.17.3 / 4.16.7 / 4.15.12 公開。1 件のセキュリティ欠陥を修正。


2022.11.22


2022.11.21


2022.11.18


2022.11.17


2022.11.16

Firefox 107.0 / ESR 102.5.0、Firefox for Android 107、Thunderbird 102.5.0 公開
(Mozilla, 2022.11.15)

 出ました。

2022.11.30 追記:

 Firefox 107.0.1 出ました。セキュリティ修正は含みません。

2022.12.02 追記:

 Thunderbird 102.5.1 出ました。セキュリティ修正を含みます。


2022.11.14

複数のUEFI実装に危険な脆弱性 ~最悪の場合バックドアなどが仕込まれたり、システムが起動不能に
(窓の杜, 2022.11.10)

 各社の UEFI 実装に欠陥。TOCTOU による競合状態が発生し、SecureBoot を回避する等の不適切な動作が実行されてしまう。CVE-2021-33164

  Multiple race conditions due to TOCTOU flaws in various UEFI Implementations - Vulnerability Note VU#434994 (US-CERT, 2022.11.11 更新) によると、現時点では AMI / DELL / HP / Insyde / Intel が影響ありとされている。 AMI や Insyde の製品を採用している PC ベンダーは影響を受ける可能性がある。 たとえば Insyde だと、以前にはこういう話があった。

 一方で AMD / 東芝 / Phoenix は影響なしとされている。

Apple 方面 (iOS / iPadOS, macOS)
(Apple, 2022.11.09)

 libxml2 の欠陥 2 件 CVE-2022-40303 CVE-2022-40304 を修正。


2022.11.11


2022.11.10


2022.11.09

2022 年 11 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.11.09)

 Microsoft 2022.11 月例更新出ました。

 0-day は 4 件。

 Sysinternals は sysmon 。

 Exchange 0-day にようやく対応。

 Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability CVE-2022-37966 (Microsoft, 2022.11.08) への対応は、プロトコルの変更を伴うそうです。

 あと手動での対応が必要となる (patch を適用しただけでは穴は塞がらない) のが 2 件。

 関連:

2022.11.14 追記:

 exFAT で権限上昇、なんてのが含まれているんですね。

2022.11.28 追記:

 2022年11月のパッチで「lsass.exe」にメモリリーク ~Windows Serverの一部バージョンで  Microsoftが回避策を案内 (窓の杜, 2022.11.25)、 Windows Serverにメモリリークの不具合。サーバーが応答しなくなったり再起動が発生。2022年11月9日以降のWindowsUpdateに起因 (ニッチなPCゲーマーの環境構築Z, 2022.11.28)

当面の回避策としては、以下のコマンドを実行してレジストリキー「KrbtgtFullPacSignature」を「0」に設定するのが有効。 ただし、この問題が解決され次第、「KrbtgtFullPacSignature」をより高い値へ戻す必要がある。

追記

Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス (2022.10.04)

 2022 年 11 月のセキュリティ更新プログラム (月例) (Microsoft, 2022.11.09) で更新プログラムが提供されました。

Chrome Stable Channel Update for Desktop
(Google, 2022.11.08)

 Chrome 107.0.5304.110 (Mac/Linux) および 107.0.5304.106/.107 (Windows) 公開。10 件のセキュリティ修正を含む。 (バージョン番号修正: iida さん情報ありがとうございます)


2022.11.08

いろいろ (2022.11.08)
(various)

Android


2022.11.07

いろいろ (2022.11.07)
(various)

WebKitGTK / WPE WebKit

ClamAV

NTFS-3G

追記

いろいろ (2022.11.03) Node.js

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)


2022.11.04

いろいろ (2022.11.04)
(various)

Apple Xcode

Splunk Enterprise

  • Splunk Product Security (Splunk)。Quarterly Security Patch Updates として 2022.11.02 に Splunk Enterprise の欠陥が多数公開されている。

Veritas NetBackup

追記

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)

 Firefox 106.0.4 が公開されています。結局、まともにテストしてないってことなの?


2022.11.03

追記

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)

 Firefox 106.0.3 が公開されています。

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 (2022.10.11)

 Fortinet社製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査 (マクニカネットワークス セキュリティ研究センターブログ, 2022.10.14)

いろいろ (2022.11.03)
(various)

Node.js

  • Nov 3 2022 Security Releases (Node.js, 2022.11.01)。明日公開予定。 セキュリティ修正 1 件 (medium) + OpenSSL 3.0.7 対応。

2022.11.07 追記:

PHP, Python (Keccak XKCP SHA-3 参照実装)

Apache Tomcat

京セラ 複合機・プリンター

  • 京セラ製複合機・プリンターのセキュリティー脆弱性について (京セラ, 2022.11.01)。京セラの複数の複合機・プリンターに組み込まれている Web サーバー Command Center に 3 件の欠陥。 保守担当業社から修正版ファームウェアを入手できるようだ。

    当該の複合機のカタログを見ると、 対応 OS が「Windows XP/Vista/7/8、Server2003/ Server2008/ Server2008 R2/ Server2012、Mac OS X(10.2~)」とか書かれているので、 いずれもかなり古い機種のようだ。 Command Center のマニュアル (pa-solution.net) も (C) 2006-2009 となっているし。 最近の機種には Command Center ではなく Command Center RX が載っているみたい。

Jupyter Notebooks for Azure Cosmos DB


2022.11.02

OpenSSL Security Advisory [01 November 2022]
(oss-sec ML, 2022.11.01)

 OpenSSL 3.0.7 公開。2 件のセキュリティ欠陥が修正されている。

 いずれの欠陥も OpenSSL 1.0.2 / 1.1.1 系列には影響しない。

 関連:


過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]