セキュリティホール memo

Last modified: Fri Jul 19 18:17:19 2024 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2024.07.19


2024.07.18

追記

Apache 2.4.61 ChangeLog (2024.07.04)

 Apache 2.4.62 が出ました。Apache 2.4.61 の修正も不十分だった模様です。

SECURITY: CVE-2024-40725: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A partial fix for CVE-2024-39884 in the core of Apache HTTP Server 2.4.61 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.62, which fixes this issue.

 あと CVE-2024-40898。 Windows 版のみ。

SECURITY: CVE-2024-40898: Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows (cve.mitre.org) SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue.
Credits: Smi1e (DBAPPSecurity Ltd.)

 関連: JVNVU#99133886 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2024.07.18)

2024 年 7 月のセキュリティ更新プログラム (月例) (2024.07.10)

 CVE-2024-38112 の関連としてトレンドマイクロ セキュリティ blog 記事を追加した。

 Windows 11 22H2/23H2 用 patch に不具合。KIR (Known Issue Rollback) で対応。

EAP-TLS に関する不具合に関する注意喚起と対策のお願い
(eduroam, 2024.02.07)

 知らんかった。

以下の条件がすべて満たされているとき、第三者が同一 CA チェインが発行・署名したクライアント証明書を用いて、EAP-TLSによる認証が成功します。
PEAP, EAP-TTLSを使用している機関が該当します。 eduroam JPのサイトにある FreeRADIUS 3.2 の設定ガイド(*)には注意事項が記載され、同時に配布している設定テンプレートでは上記 3. については対応済みです。

 関連:

いろいろ (2024.07.18)
(various)

RADIUS/UDP

CPython


2024.07.17

Oracleの定例セキュリティ更新、「Java」「VirtualBox」「MySQL」など386件の脆弱性に対処
(窓の杜, 2024.07.17)

 こちらです: Oracle Critical Patch Update Advisory - July 202 (Oracle, 2024.07.16)

いろいろ (2024.07.17)
(various)

FUJITSU Network Edgiot GW1500

Wireshark

追記

Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)

 Thunderbird 115.13.0 出ました。

Chrome Stable Channel Update for Desktop
(Google, 2024.07.16)

 Chrome 126.0.6478.182/183 (Windows / Mac) および 126.0.6478.182 (Linux) 公開。 10 件のセキュリティ修正を含む。 関連:


2024.07.16


2024.07.12

追記

Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)

 Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。

 Tor Browser はまだ ESR 115 ベースですね。

いろいろ (2024.07.12)
(various)

Zoom


2024.07.10

いろいろ (2024.07.10)
(various)

Android

2024 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2024.07.09)

 出ました。139 MS CVE + 4 non-MS CVE (NPS RADIUS, Intel, GitHub)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day は 4 件:

 関連:

2024.07.18 追記:

 CVE-2024-38112 の関連としてトレンドマイクロ セキュリティ blog 記事を追加した。

 Windows 11 22H2/23H2 用 patch に不具合。KIR (Known Issue Rollback) で対応。

Firefox 128.0 / ESR 115.13.0 公開
(Mozilla, 2024.07.09)

 出ました。

2024.07.12 追記:

 Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。

 Tor Browser はまだ ESR 115 ベースですね。

2024.07.17 追記:

 Thunderbird 115.13.0 出ました。

Adobe 方面 (Premiere Pro / InDesign / Bridge)
(Adobe, 2024.07.09)

 いずれも Windows / Mac 版に影響。 いずれも Priority: 3。


2024.07.09


2024.07.08

Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~
(山崎圭吾 / ラック・セキュリティごった煮ブログ, 2024.06.27)

 Google フォームにおいて

のいずれかを実施すると予期しない結果を招くという話。

ほかの人の回答を敢えて見せたい場合を除いて、以下の設定をおこないましょう。

1.「結果の概要を表示する」はオフに!
2.共同編集者は「リンクを知っている全員」ではなく「制限付き」に!

 後者の件については piyolog で詳細にまとめられている: Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた (piyolog, 2024.07.08)。 もしかすると Google 側で対処されたのかもしれないが、 そうだとしても「制限付き」にしておくのが吉だろう。


2024.07.05


2024.07.04

いろいろ (2024.07.04)
(various)

Apache Tomcat

  • CVE-2024-34750 (NIST, 2024.07.03)。 Apache Tomcat 9 / 10 / 11 に欠陥。 HTTP/2 stream の処理において、過剰な HTTP ヘッダーを正しく処理できない場合がある。 Apache Tomcat 9.0.90 / 10.1.25 / 11.0.0-M21 で修正。

    iida さん情報ありがとうございます。

Apache 2.4.61 ChangeLog
(apache.org, 2024.07.03)

 Apache 2.4.60 が 2024.07.01 に出たばかりですが、さっそく 2.4.61 が出ました。iida さん情報ありがとうございます。

 Apache 2.4.60 には複数のセキュリティ修正が含まれているのですが、 CVE-2024-38476 の修正に関する Note の部分

SECURITY: CVE-2024-38476: Apache HTTP Server may use exploitable/malicious backend application output to run local handlers via internal redirect (cve.mitre.org) Vulnerability in core of Apache HTTP Server 2.4.59 and earlier are vulnerably to information disclosure, SSRF or local script execution via backend applications whose response headers are malicious or exploitable.

Note: Some legacy uses of the 'AddType' directive to connect a request to a handler must be ported to 'AddHandler' after this fix.

が問題視されたということなのか、Apache 2.4.61 の修正点はこの 1 点↓のみです。

SECURITY: CVE-2024-39884: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A regression in the core of Apache HTTP Server 2.4.60 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.61, which fixes this issue.

 結論としては、2.4.60 は飛ばして 2.4.61 にアップデートするのがよさそうです。 関連:

2024.07.18 追記:

 Apache 2.4.62 が出ました。Apache 2.4.61 の修正も不十分だった模様です。

SECURITY: CVE-2024-40725: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A partial fix for CVE-2024-39884 in the core of Apache HTTP Server 2.4.61 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.62, which fixes this issue.

 あと CVE-2024-40898。 Windows 版のみ。

SECURITY: CVE-2024-40898: Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows (cve.mitre.org) SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue.
Credits: Smi1e (DBAPPSecurity Ltd.)

 関連: JVNVU#99133886 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2024.07.18)


2024.07.03

OpenSSH 9.8 Release Notes
(OpenSSH, 2024.07.01)

 OpenSSH 9.8 / 9.8p1 公開。 セキュリティ修正を含みます。iida さん情報ありがとうございます。

セキュリティ修正その1

1) Race condition in sshd(8)

A critical vulnerability in sshd(8) was present in Portable OpenSSH versions between 8.5p1 and 9.7p1 (inclusive) that may allow arbitrary code execution with root privileges.

Successful exploitation has been demonstrated on 32-bit Linux/glibc systems with ASLR. Under lab conditions, the attack requires on average 6-8 hours of continuous connections up to the maximum the server will accept. Exploitation on 64-bit systems is believed to be possible but has not been demonstrated at this time. It's likely that these attacks will be improved upon.

Exploitation on non-glibc systems is conceivable but has not been examined. Systems that lack ASLR or users of downstream Linux distributions that have modified OpenSSH to disable per-connection ASLR re-randomisation (yes - this is a thing, no - we don't understand why) may potentially have an easier path to exploitation. OpenBSD is not vulnerable.

We thank the Qualys Security Advisory Team for discovering, reporting and demonstrating exploitability of this problem, and for providing detailed feedback on additional mitigation measures.

 regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server (Qualys, 2024.07.01) の件。 OpenSSH 4.4p1 で直した個所を 8.5p1 で誤って削除してしまい 9.7p1 まで脆弱に。うっかり八兵衛 (死語) な話だが、 コードメンテナンスの難しさという話でもあるよなあ。 OpenSSH 9.8p1 で修正。 CVE-2024-6387

 関連:

セキュリティ修正その2

2) Logic error in ssh(1) ObscureKeystrokeTiming

In OpenSSH version 9.5 through 9.7 (inclusive), when connected to an OpenSSH server version 9.5 or later, a logic error in the ssh(1) ObscureKeystrokeTiming feature (on by default) rendered this feature ineffective - a passive observer could still detect which network packets contained real keystrokes when the countermeasure was active because both fake and real keystroke packets were being sent unconditionally.

This bug was found by Philippos Giavridis and also independently by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford of the University of Cambridge Computer Lab.

Worse, the unconditional sending of both fake and real keystroke packets broke another long-standing timing attack mitigation. Since OpenSSH 2.9.9 sshd(8) has sent fake keystoke echo packets for traffic received on TTYs in echo-off mode, such as when entering a password into su(8) or sudo(8). This bug rendered these fake keystroke echoes ineffective and could allow a passive observer of a SSH session to once again detect when echo was off and obtain fairly limited timing information about keystrokes in this situation (20ms granularity by default).

This additional implication of the bug was identified by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford and we thank them for their detailed analysis.

This bug does not affect connections when ObscureKeystrokeTiming was disabled or sessions where no TTY was requested.

 OpenSSH 9.5 で追加された ObscureKeystrokeTiming 機能 (デフォルト ON) が、 OpenSSH sshd 9.5 以降に接続した場合には機能していなかった。 そればかりか、OpenSSH 2.9.9 sshd 以降に実装されている限定的な対抗策までもが破壊されていた。 OpenSSH 9.8 で修正。

 非 Linux な方、regreSSHion 脆弱性は俺には関係ないと安心してちゃ駄目のようですよ。 (お前だよ! > 俺)


2024.07.02


過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]