セキュリティホール memo

Last modified: Wed Oct 20 16:44:28 2021 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2021.10.20

Oracle Critical Patch Update Advisory - October 2021
(Oracle, 2021.10.19)

 Oracle 四半期定例 patch 出ました。 Java SE 17.0.1 / 11.0.13 / 8u311、VirtualBox 6.1.28 などが公開されています。

 関連:


2021.10.19


2021.10.18


2021.10.15

「Kaspersky Endpoint Security Cloud」、AV-TESTにおいてランサムウェアの100%ブロックを実証
(Kaspersky / PR TIMES, 2021.10.12)

 AV TEST の Advanced Endpoint Protection: Ransomware Protection test (AV TEST, 2021.09.30) において Kaspersky Endpoint Security Cloud 11.6.0.394 のみが 100% の結果を達成。 何をテストしたのかについては、ランサムウェアに対するセキュリティ製品の実効性を見る (Kaspersky, 2021.10.12) が詳しい。 特に違いが出たのはこの部分:

シナリオ2:リモート暗号化からユーザーファイルを守る
続いては、ローカルの共有フォルダー内にあるユーザーファイル(ローカルネットワークを通じてアクセス可能なファイル)に対し、同じネットワーク上にある別のコンピューターから攻撃が行われるというシナリオです。この「別のコンピューター」にはセキュリティ製品がインストールされていなかったために攻撃者がランサムウェアを実行してローカルファイルを暗号化できた、さらに、ランサムウェアは近くのコンピューターにアクセス可能な情報がないかどうか探索を始める、といった攻撃を想定しています。使用されたマルウェアファミリーは、Avaddon、Conti、Fonix、Limbozar、Lockbit、Makop、Maze、Medusa(AKO)、Nefilim、Phobos、Ragnar Locker、RansomExx(別名:Defray777)、Revil(別名:Sodinokibi、Sodin)、Ryukです。

 多くのアンチウイルス製品が 0% (!!!!!) な中、Kaspersky は 100% を達成。 シマンテック SEP 14.3 RU2 は 50% になっている。14.3 RU3 ならどういう結果になるのだろう。

シナリオ3:概念実証ランサムウェアからユーザーファイルを守る
第3のシナリオでは、これまでに遭遇したことのない、したがってマルウェアデータベースに(仮定としても)存在するはずのないランサムウェアに、各製品がどう対処するかを見ました。まだ知られていない脅威を特定するには、マルウェアのふるまいに反応するプロアクティブな技術を用いるしかありません。テストに先立っては、サイバー犯罪者が実際にマルウェアを作成する場合のような手法で、既存のセキュリティ製品による検知を避ける14種類のランサムウェアサンプルが、テスト用に作成されました。

 ここでも Kaspersky は 100% を達成。続くのは Watchguard Endpoint Security 8.0.18 の 86%。 シマンテック SEP 14.3 RU2 は 20% でしかない。 うひー。


2021.10.14

AppleがAndroidのマルウェアの実態を報告 「サイドローディングが元凶」と指摘
(林信行 / ITmedia, 2021.10.14)

 Epic Games 方面があるので、そういう理屈が成立してくれないと困るということですか。 直しても直しても iMessage 経由で一撃でハクられ続ける製品をつくってる会社が何言ってるの、って感じしますけどね。 自由を大いに犠牲にしてまで Store を固めたにもかかわらず、製品全体としては全く安全じゃない、というのが今の iPhone なのでねえ。

 サイドローディングを許していない現在のiOSでは、そもそもリンクをクリックしてアプリをダウンロードができない(企業ユーザーかアプリのテストユーザーなど特殊なケースはあるが、その場合もダウンロードできるのは指定のアプリだけだ)。万が一、アプリを入れることができても、Appleも署名した証書をインストールしていないとアプリが起動できない。
 サイドローディングを認めさせようとする人たちには、ぜひともサイドローディングをしても、こういったマルウェアを防げるという具体的なアイディアを示してほしいと思う。

 はぁ。Apple は 1984 的独裁企業になっちゃったので、リスクを被ってでも自由が必要だ、 という話なんですけどね。 Apple がまともなしくみを提供しないからサイドローディング必要論が出てきてるんですよ? もはや Apple は家電屋ではなくインフラ屋なのだけど、独裁のインフラ屋では困るのです。

いろいろ (2021.10.14)
(various)

Trend Micro Apex One、ウイルスバスター コーポレートエディション、ウイルスバスター ビジネスセキュリティ、ウイルスバスター ビジネスセキュリティサービス

Node.js


2021.10.13

Adobe 方面 (Acrobat / Reader, Reader Mobile, Connect, ops-cli, Commerce, Campaign Standard)
(Adobe, 2021.10.12)

 出ました。Acrobat / Reader, Connect, Commerce, Campaign Standard は Priority: 2、 他は 3。

 (あとで書く予定)

2021 年 10 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.10.13)

 出ました。

 0-day は 4 件で、内 1 件は実際に攻撃を受けているそうで。 まだ攻撃は確認されていない 3 件はいずれも Exploitability Assessment: Exploitation Less Likely (悪用される可能性は低い) になってはいるけど……。

 Exploitation More Likely (悪用される可能性が高い) になっているのは以下:

 印刷スプーラーねた、あいかわらず続いていたんですね。

 関連:

Apache OpenOffice 4.1.11 Release Notes
(Apache.org, 2021.10.11 更新)

 Apache OpenOffice 4.1.11 が 2021.10.06 に公開。7 件のセキュリティ修正を含む。

CVE-2021-33035 - Buffer overflow from a crafted DBF file
CVE-2021-40439 - Billion Laughs
CVE-2021-28129 - DEB packaging for Apache OpenOffice 4.1.8 installed with a non-root userid and groupid
CVE-2021-41830 - #1 Content Manipulation with Certificate Double Attack
CVE-2021-41830 - #2 Macro Manipulation with Certificate Double Attack
CVE-2021-41831 - #3 Timestamp Manipulation with Signature Wrapping
CVE-2021-41832 - #4 Content Manipulation with Certificate Validation Attacka

2021.10.12

追記

Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起 (2021.10.06)

About the security content of iOS 15.0.2 and iPadOS 15.0.2
(Apple, 2021.10.11)

 iOS / iPadOS 15.0.2 公開。remote から任意のコードをカーネル権限で実行できる IOMobileFrameBuffer の 0-day 欠陥 CVE-2021-30883 が修正されている。

Chrome Stable Channel Update for Desktop
(Google, 2021.10.07)

 Chrome 94.0.4606.81 公開。4 件のセキュリティ修正を含む。0-day は無いようです。


2021.10.11

追記

Firefox 93.0 / ESR 91.2 / ESR 78.15 公開 (2021.10.06)

 Thunderbird 91.2.0 が公開されました。現時点では、英語版についてのみ 78 系列からの自動更新が行われているそうです。となると、 Thunderbird 78.15 は出ないということなんですかね。 いずれにせよ、日本語版 Thunderbird 78 系列の利用者は、もうしばらく待つのがよさそうです。

IoT機器、脆弱性放置12万台 サイバー攻撃の恐れ
(日経, 2021.10.09)

 だそうです。

調査はセキュリティースタートアップのゼロゼロワン(東京・渋谷)が提供するシステムを使い実施した。ネットに接続して稼働している国内全てのIoT機器を検出でき、IPアドレスなど外部から分かる情報を基に、機器のソフトウエアのバージョンを確認。メーカーがサポート切れを公表している機器を判別できる。

 Karma (ゼロゼロワン) を使った調査、という理解でいいのかな。 さまざまな会社製のさまざまな機器、計 12 万台がヤバい状態だと。

パソコン周辺機器大手のエレコムは7月、2017年11~12月に発売した家庭向けルーターの基盤ソフトの欠陥を「ライセンス上の理由」から修正しないと発表した。ソフトに欠陥が見つかったものの、そのソフトをエレコム側で改変できない使用条件だったとみられる。ソフトメーカーが修正を断ればメーカーが対処できなくなる典型的な事例となった。

 この件かな:

 エレコムの web ページにある文言は「対象製品のアップデートサービスは終了しております」なのだけど、 それが「ライセンス上の理由」なのだそうで。

通信業界を監督する立場の総務省も事態を問題視している。IoT機器のガイドラインの見解をこのほど明確化。(ソフト会社が対応できる)20年4月以降に発売したルーターや監視カメラなどの基盤ソフトに脆弱性が発覚した場合、「必ず修正できる機能を備えることが求められる」(総合通信基盤局電気通信事業部電気通信技術システム課)とした。対応を怠ると通信規格に適合していることを示す「技術基準適合認定(技適)」が下りず、販売できない。

 この件かな:


2021.10.08

追記

Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起 (2021.10.06)

 2.4.50 では直り切っていなかったそうで、2.4.51 が出ています。iida さん情報ありがとうございます。


2021.10.07

いろいろ (2021.10.07)
(various)

Apple Pay の VISA

  • Apple PayのVISA、勝手に決済される脆弱性 (PC Watch, 2021.10.04)

    この脆弱性の詳細については、Appleが2020年10月、VISAが2021年5月に開示しており、脆弱性の深刻さを認めているものの、どちらが修正を実装すべきか合意に至っていない状態。

    クソすぎる。

Android


2021.10.06

Firefox 93.0 / ESR 91.2 / ESR 78.15 公開
(Mozilla, 2021.10.05)

 出ました。セキュリティ修正を含みます。 Thunderbird 78.15 はまだ出ていないようです。

 関連:

2021.10.11 追記:

 Thunderbird 91.2.0 が公開されました。現時点では、英語版についてのみ 78 系列からの自動更新が行われているそうです。となると、 Thunderbird 78.15 は出ないということなんですかね。 いずれにせよ、日本語版 Thunderbird 78 系列の利用者は、もうしばらく待つのがよさそうです。

Chrome Stable Channel Update for Desktop
(Google, 2021.09.30)

 そういえば Chrome 94.0.4606.71 出てたんでした。 0-day 2 件を含む 4 件のセキュリティ修正。

Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
(JPCERT/CC, 2021.10.06)

 Apache HTTP Server 2.4.49 に (のみ) パストラバーサルを許す欠陥があり、 特定の条件において remote から任意のファイルを取得できる。 既に PoC が公開されている。 CVE-2021-41773

 CVE-2021-41773: Path Traversal Zero-Day in Apache HTTP Server Exploited (tenable, 2021.10.05)

This vulnerability only impacts Apache HTTP Server version 2.4.49 with the “require all denied” access control configuration disabled.

 Apache HTTP Server 2.4.50 で修正されている。 2.4.50 では、この他にも null pointer dereference in h2 fuzzing CVE-2021-41524 が修正されている。

 iida さん情報ありがとうございます。

2021.10.08 追記:

 2.4.50 では直り切っていなかったそうで、2.4.51 が出ています。iida さん情報ありがとうございます。

2021.10.12 追記:

 Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた (piyolog, 2021.10.10)


2021.10.05

追記

FORCEDENTRY - NSO Group iMessage Zero-Click Exploit Captured in the Wild (2021.09.14)

 ついさっき気がついた orz のですが、iOS 12.5.5 が出ていたのですね。 CVE-2021-30860 (CoreGraphics)、 CVE-2021-30858 (WebKit)、 CVE-2021-30869 (XNU) が修正されている。 CVE-2021-30869 も 0-day。

 CVE-2021-30869 (XNU) については セキュリティアップデート 2021-006 Catalina でも修正されている。

 CVE-2021-30869 なのだが、なぜか MITRENIST では rejected になっている。よくわからん。


2021.10.04


2021.10.01

Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
(ワルブリックス株式会社, 2021.10.01)

 あらまあ。こんな問題があったのですね。 関連:

2021.10.04 追記:

 関連:

SonicWall製のSMA100シリーズの脆弱性(CVE-2021-20034)に関する注意喚起
(JPCERT/CC, 2021.10.01)

 SonicWall SMA 100 シリーズ (SMA 200, 210, 400, 410, 500v) にセキュリティ欠陥。 remote から無認証で任意のファイルを削除でき、結果として管理者権限を奪取できる。 CVE-2021-20034

 ファームウェア 10.2.1.1-19sv / 10.2.0.8-37sv / 9.0.0.11-31sv で修正されている。


過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]