セキュリティホール memo

Last modified: Tue Jul 16 18:03:05 2024 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2024.07.16


2024.07.12

追記

Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)

 Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。

 Tor Browser はまだ ESR 115 ベースですね。

いろいろ (2024.07.12)
(various)

Zoom


2024.07.10

いろいろ (2024.07.10)
(various)

Android

2024 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2024.07.09)

 出ました。139 MS CVE + 4 non-MS CVE (NPS RADIUS, Intel, GitHub)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day は 4 件:

 関連:

Firefox 128.0 / ESR 115.13.0 公開
(Mozilla, 2024.07.09)

 出ました。

2024.07.12 追記:

 Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。

 Tor Browser はまだ ESR 115 ベースですね。

Adobe 方面 (Premiere Pro / InDesign / Bridge)
(Adobe, 2024.07.09)

 いずれも Windows / Mac 版に影響。 いずれも Priority: 3。


2024.07.09


2024.07.08

Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~
(山崎圭吾 / ラック・セキュリティごった煮ブログ, 2024.06.27)

 Google フォームにおいて

のいずれかを実施すると予期しない結果を招くという話。

ほかの人の回答を敢えて見せたい場合を除いて、以下の設定をおこないましょう。

1.「結果の概要を表示する」はオフに!
2.共同編集者は「リンクを知っている全員」ではなく「制限付き」に!

 後者の件については piyolog で詳細にまとめられている: Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた (piyolog, 2024.07.08)。 もしかすると Google 側で対処されたのかもしれないが、 そうだとしても「制限付き」にしておくのが吉だろう。


2024.07.05


2024.07.04

いろいろ (2024.07.04)
(various)

Apache Tomcat

  • CVE-2024-34750 (NIST, 2024.07.03)。 Apache Tomcat 9 / 10 / 11 に欠陥。 HTTP/2 stream の処理において、過剰な HTTP ヘッダーを正しく処理できない場合がある。 Apache Tomcat 9.0.90 / 10.1.25 / 11.0.0-M21 で修正。

    iida さん情報ありがとうございます。

Apache 2.4.61 ChangeLog
(apache.org, 2024.07.03)

 Apache 2.4.60 が 2024.07.01 に出たばかりですが、さっそく 2.4.61 が出ました。iida さん情報ありがとうございます。

 Apache 2.4.60 には複数のセキュリティ修正が含まれているのですが、 CVE-2024-38476 の修正に関する Note の部分

SECURITY: CVE-2024-38476: Apache HTTP Server may use exploitable/malicious backend application output to run local handlers via internal redirect (cve.mitre.org) Vulnerability in core of Apache HTTP Server 2.4.59 and earlier are vulnerably to information disclosure, SSRF or local script execution via backend applications whose response headers are malicious or exploitable.

Note: Some legacy uses of the 'AddType' directive to connect a request to a handler must be ported to 'AddHandler' after this fix.

が問題視されたということなのか、Apache 2.4.61 の修正点はこの 1 点↓のみです。

SECURITY: CVE-2024-39884: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A regression in the core of Apache HTTP Server 2.4.60 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.61, which fixes this issue.

 結論としては、2.4.60 は飛ばして 2.4.61 にアップデートするのがよさそうです。 関連:


2024.07.03

OpenSSH 9.8 Release Notes
(OpenSSH, 2024.07.01)

 OpenSSH 9.8 / 9.8p1 公開。 セキュリティ修正を含みます。iida さん情報ありがとうございます。

セキュリティ修正その1

1) Race condition in sshd(8)

A critical vulnerability in sshd(8) was present in Portable OpenSSH versions between 8.5p1 and 9.7p1 (inclusive) that may allow arbitrary code execution with root privileges.

Successful exploitation has been demonstrated on 32-bit Linux/glibc systems with ASLR. Under lab conditions, the attack requires on average 6-8 hours of continuous connections up to the maximum the server will accept. Exploitation on 64-bit systems is believed to be possible but has not been demonstrated at this time. It's likely that these attacks will be improved upon.

Exploitation on non-glibc systems is conceivable but has not been examined. Systems that lack ASLR or users of downstream Linux distributions that have modified OpenSSH to disable per-connection ASLR re-randomisation (yes - this is a thing, no - we don't understand why) may potentially have an easier path to exploitation. OpenBSD is not vulnerable.

We thank the Qualys Security Advisory Team for discovering, reporting and demonstrating exploitability of this problem, and for providing detailed feedback on additional mitigation measures.

 regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server (Qualys, 2024.07.01) の件。 OpenSSH 4.4p1 で直した個所を 8.5p1 で誤って削除してしまい 9.7p1 まで脆弱に。うっかり八兵衛 (死語) な話だが、 コードメンテナンスの難しさという話でもあるよなあ。 OpenSSH 9.8p1 で修正。 CVE-2024-6387

 関連:

セキュリティ修正その2

2) Logic error in ssh(1) ObscureKeystrokeTiming

In OpenSSH version 9.5 through 9.7 (inclusive), when connected to an OpenSSH server version 9.5 or later, a logic error in the ssh(1) ObscureKeystrokeTiming feature (on by default) rendered this feature ineffective - a passive observer could still detect which network packets contained real keystrokes when the countermeasure was active because both fake and real keystroke packets were being sent unconditionally.

This bug was found by Philippos Giavridis and also independently by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford of the University of Cambridge Computer Lab.

Worse, the unconditional sending of both fake and real keystroke packets broke another long-standing timing attack mitigation. Since OpenSSH 2.9.9 sshd(8) has sent fake keystoke echo packets for traffic received on TTYs in echo-off mode, such as when entering a password into su(8) or sudo(8). This bug rendered these fake keystroke echoes ineffective and could allow a passive observer of a SSH session to once again detect when echo was off and obtain fairly limited timing information about keystrokes in this situation (20ms granularity by default).

This additional implication of the bug was identified by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford and we thank them for their detailed analysis.

This bug does not affect connections when ObscureKeystrokeTiming was disabled or sessions where no TTY was requested.

 OpenSSH 9.5 で追加された ObscureKeystrokeTiming 機能 (デフォルト ON) が、 OpenSSH sshd 9.5 以降に接続した場合には機能していなかった。 そればかりか、OpenSSH 2.9.9 sshd 以降に実装されている限定的な対抗策までもが破壊されていた。 OpenSSH 9.8 で修正。

 非 Linux な方、regreSSHion 脆弱性は俺には関係ないと安心してちゃ駄目のようですよ。 (お前だよ! > 俺)


2024.07.02


過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]