セキュリティホール memo - 2008.11

Last modified: Wed Nov 4 01:11:25 2009 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2008.11.30


2008.11.28

新はてなブックマークの登録ブックマークレットは使ってはいけない
(高木浩光@自宅の日記, 2008.11.25)

 危険な模様。

はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。ブックマークレットでそこまでやることが許されるのか。 (中略) Webの安全な利用手順を破壊する*3このようなブックマークレットを普及させるのは、やめていただきたい。

 関連: クロスドメインの疑似ダイアログにログインフォーム (水無月ばけらのえび日記, 2008.11.26)

追記

Microsoft 2008 年 10 月のセキュリティ情報

 MS08-067 つづき。

いろいろ (2008.11.24)


2008.11.27

いろいろ (2008.11.27)
(various)

追記

CPNI-957037: SSH 通信において一部データが漏えいする可能性

 http://ttssh2.sourceforge.jp/snapshot/ に Tera Term 4.61 RC1 が出てますね。

[Clamav-announce] announcing ClamAV 0.94.2
(ClamAV, 2008.11.27)

 ClamAV 0.94.2 登場してます。セキュリティ fix はあるのかなあ?

2008.12.04 追記:

 JPEG ファイルの処理において欠陥があり、攻略 JPEG ファイルによって DoS 攻撃が可能だった模様。CVE-2008-5314

2008.12.06 追記:

 ClamAV < 0.94.2 (JPEG Parsing) Recursive Stack Overflow PoC (milw0rm)


2008.11.26

JVN#70599814 - アイ・オー・データ製 HDL-F シリーズにおけるクロスサイトリクエストフォージェリの脆弱性
(JVN, 2008.11.26)

 IO DATA の HDL-F160, HDL-F250, HDL-F300, HDL-F320 に CSRF 欠陥。 ファームウェアバージョン Ver.1.02 で修正されている。 しかし「2008年8月29日公開」なら、もっと早く告知してもよかったんじゃないのか……。 LAN接続型ハードディスク「HDL-Fシリーズ」ご愛用のお客様へ大切なお知らせ (IO DATA, 2008.11.26) からたどれるファームウェア変更履歴のこの記述もひどいなあ。

■Ver.1.01 → Ver.1.02(2008/08/29)

・Web設定画面で誤った操作を防止するように修正

WordPress 2.6.5
(wordpress.org, 2008.11.25)

 WordPress 2.6.5 がリリースされています。 Apache 2.x で IP アドレスベースのバーチャルホストを使用している場合にのみ発生する XSS 欠陥が修正されています。 変更点CVE-2008-5278

 詳細: WordPress XSS vulnerability in RSS Feed Generator

追記

Microsoft 2008 年 11 月のセキュリティ情報

Microsoft 2008 年 10 月のセキュリティ情報

 関連:

FreeBSD-SA-08.11.arc4random - arc4random(9) predictable sequence vulnerability
(FreeBSD, 2008.11.24)

 FreeBSD 6.x / 7.x の arc4random(9) に欠陥。初期化時に不適切なエントロピーが与えられてしまうため、起動後にセキュアなエントロピーによってシードが再設定されるまで (起動後の 5 分間)、 不適切な値を返す。起動時に初期化される各種コンポーネントに広く影響する。 CVE-2008-5162

 patch があるので適用して kernel を再作成、インストール、再起動。


2008.11.25

About the security content of iPhone OS 2.2 and iPhone OS for iPod touch 2.2
(Apple, 2008.11.24)

 iPhone OS 2.1 以前 / iPhone OS for iPod touch 2.1 以前に 12 種類の欠陥。 iPhone OS 2.2 / iPhone OS for iPod touch 2.2 で修正されている。 任意のコードの実行を招く欠陥が複数あったほか、 PPTP VPN の暗号化レベルが低下したり、自動的に電話をかけてしまう欠陥もあった。


2008.11.24

いろいろ (2008.11.24)
(various)

2008.11.28 追記:

 SYM08-021 - Symantec Backup Exec Authentication Bypass and Potential Buffer Overflow の日本語版: SYM08-021 - Symantec Backup Exec の認証回避およびバッファオーバーフローが発生する脆弱性 (シマンテック)

[SVRT-04-08] Vulnerability in WireShark 1.0.4 for DoS Attack
(SVRT-Bkis / bugtraq, 2008.11.23)

 WireShark 1.0.4 以前に欠陥。SMTP プロトコルの解析において欠陥があり、remote から DoS 攻撃を実施できる。WireShark 1.0.5 で修正される。現在は 1.0.5 プレリリース版を http://www.wireshark.org/download/prerelease/ から入手できる。

追記

いろいろ (2008.01.16)


2008.11.22

追記

Vulnerability Note VU#800113 - Multiple DNS implementations vulnerable to cache poisoning

 関連:

CPNI-957037: SSH 通信において一部データが漏えいする可能性

 関連:

  • OpenSSH Security Advisory: cbc.adv (OpenSSH.com, 2008.11.21)。OpenSSH 開発チームの元にも詳細情報は届いていない模様。

    AES CTR mode and arcfour ciphers are not vulnerable to this attack at all. These may be preferentially selected by placing the following directive in sshd_config and ssh_config:

    Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc

2008.11.21


2008.11.20

Pwning Ubuntu via CUPS
(gnucitizen, 2008.11.18)

 openSuSE 11.0 / Ubuntu 8.04.1 上の cupsd に 0-day な欠陥があり、remote から crash させることが可能。

追記

Firefox 3.0.4 / 2.0.0.18, Seamonkey 1.1.13 が公開されています

 Thunderbird 2.0.0.18 が公開されています。高橋さん情報ありがとうございます。


2008.11.19

Trend Micro ServerProtect(TM) for Linux 3.0 Critical Patch (ビルド 1235) Readme
(トレンドマイクロ, 2008.11.13)

 以下だそうです。

本Critical Patchは、ServerProtect Webアプリケーションの設定における次の
3つの潜在的な脆弱性の問題を修正するために提供されます。
攻撃者はこれらの脆弱性を悪用し、次のような攻撃を行う可能性があります。

   - サーバ上でのユーザ名の認証
   - ServerProtect Webコンソールのディレクトリのディレクトリ一覧の閲覧
   - HTTP TRACEメソッドを用いた信用情報または機密情報の漏えい

(中略)
本Critical Patchの適用により、問題が次のように修正されます。
(中略)
   - リモートの攻撃者がユーザのホームディレクトリの要求を試みると、Webコン
     ソールに存在するユーザと存在しないユーザの両方に、同じ返信メッセージが
     表示されます。

   - 攻撃者が、管理ディレクトリなどのページへのリンクを含むServerProtect 
     Webコンソールのディレクトリにアクセスすると、Webコンソールに「アクセス
     不可」のHTTPエラーメッセージが表示されます。

   - 「TraceEnable」が「Off」に設定され、HTTP TRACEメソッドが無効になります。

 ダウンロード

追記

トレンドマイクロ ServerProtect に未修正の 8 つの欠陥、発見されたのは 2 年前

 日本語版用で先行して patch が出たっぽい。該当するビルド番号は、 英語版のダウンロードページには存在しない。

  • ServerProtect for Windows 5.7 Patch 1 (ビルド 1081) Readme ダウンロード

       2.2 本Patch 1で修正される既知の問題
       ===================================
       (中略)
       2. StRpcSrv.dllのInsecure Method Exposureに関する脆弱性に関する問題
       3. 一般サーバのRPCインタフェースにおけるヒープオーバフローに関する問題
    
  • ServerProtect(TM) for Windows/NetWare 5.58 Patch 5 (build 1205) Readme ダウンロード

       2.2 Patch 5で修正される既知の問題
       =================================
       (中略)
       13. 次のバッファオーバフローに関する各問題が修正されます。
    
          - stcommon.dllモジュールにおけるRPCFN_CMON_SetSvcImpersonateUser関数へ
            のRPC呼び出し
          - stcommon.dllモジュールにおけるRPCFN_OldCMON_SetSvcImpersonateUser関数
            へのRPC呼び出し
          - earthagent.exeモジュールにおけるRPCFN_EVENTBACK_DoHotFix関数へのRPC呼
            び出し
          - earthagent.exeモジュールにおけるCMD_CHANGE_AGENT_REGISTER_INFO関数への
            RPC呼び出し
          - eng50.dllモジュールにおけるRPCFN_ENG_TakeActionOnAFile関数へのRPC呼び
            出し
          - eng50.dllモジュールにおけるRPCFN_ENG_AddTaskExportLogItem関数へのRPC呼
            び出し
          - StRpcSrv.dllモジュールにおけるRPCFN_ENG_TimedNewManualScan関数へのRPC
            呼び出し
          - StRpcSrv.dllモジュールにおけるRPCFN_SYNC_TASK関数へのRPC呼び出し
          - StRpcSrv.dllモジュールにおけるRPCFN_SetComputerName関数へのRPC呼び出し
          - StRpcSrv.dllモジュールにおけるRPCFN_ENG_NewManualScan関数へのRPC呼び出し
          - Notification.dllモジュールにおけるNTF_SetPagerNotifyConfig関数へのRPC呼
            び出し
          - stcommon.dllモジュールにおけるRPCFN_ActiveRollback関数へのRPC呼び出し
          - eng50.dllモジュールにおけるENG_SetRealTimeScanConfigInfo関数へのRPC呼
            び出し
          - earthagent.exeモジュールにおけるRPCFN_EVENTBACK_Online関数へのRPC呼び
            出し
          - AgRpcCln.dllモジュールにおけるCreateBinding関数へのRPC呼び出し
          - stCommon.dllモジュールにおけるCMON_NetTestConnection関数へのRPC呼び出し
          - earthagent.exeモジュールにおけるRPCFN_EVENTBACK_ConnectAnotherIS関数
            へのRPC呼び出し
          

    わかりにくいので表にしてみた。

    モジュール名 関数名
    stcommon.dll RPCFN_CMON_SetSvcImpersonateUser
    RPCFN_OldCMON_SetSvcImpersonateUser
    RPCFN_ActiveRollback
    CMON_NetTestConnection
    earthagent.exe RPCFN_EVENTBACK_DoHotFix
    CMD_CHANGE_AGENT_REGISTER_INFO
    RPCFN_EVENTBACK_Online
    RPCFN_EVENTBACK_ConnectAnotherIS
    eng50.dll RPCFN_ENG_TakeActionOnAFile
    RPCFN_ENG_AddTaskExportLogItem
    ENG_SetRealTimeScanConfigInfo
    StRpcSrv.dll RPCFN_ENG_TimedNewManualScan
    RPCFN_SYNC_TASK
    RPCFN_SetComputerName
    RPCFN_ENG_NewManualScan
    Notification.dll NTF_SetPagerNotifyConfig
    AgRpcCln.dll CreateBinding

 ただし、これで全部直っているのかどうかは不明。トレンドマイクロさん、CVE 番号書いてよ……。

Secunia Research: Trend Micro OfficeScan CGI Parsing Buffer Overflows

CPNI-957037: SSH 通信において一部データが漏えいする可能性

 Plaintext Recovery Attack Against SSH (ssh.com, 2008.11.14) によると、SSH Tectia にも同じ欠陥があり、暗号化アルゴリズムとして CryptiCore または Arcfour を使用することで回避できるそうです。 また、次のバージョンではこの欠陥は影響しないとされていますが、具体的に何が変わっているのかは不明です。

  • SSH Tectia Client and Server and ConnectSecure 6.0.5

  • SSH Tectia Client and Server and Connector 5.3.9 / 5.2.5 / 4.4.12

  • SSH Tectia Server for Linux on IBM System z 6.0.5

  • SSH Tectia Server for IBM z/OS 6.0.2 / 5.5.2

  • SSH Tectia Client 4.3.4-J (Japanese)

 Release Notes for SSH Tectia Client 6.0.5 (ssh.com) には、こう書かれていますね。

Bug Fixes In 6.0.5:
-------------------

- All platforms: Fixed transmission error handling logic in the 
  Secure Shell protocol library.

 転送エラー発生時の処理に欠陥があった?

 SSH通信において低確率ながら一部データが漏えいする可能性 (slashdot.jp, 2008.11.18) の #1457647 で「arcfour(RC4) (中略) も該当するのでしょうか?」と言っている人がいるのですが、arcfour は大丈夫っぽいですね。 というわけで、たとえば OpenSSH では、グローバルなクライアント設定ファイル (例: /etc/ssh/ssh_config) に

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour

のように書いておけば、とりあえずは ok かな (順序はお好みで)。OpenSSH 3.6 以前の場合は arcfour だけですね。

 その他の実装

  • Poderosa: 欠陥ががあるかどうかは不明。 最新の Poderosa 4.1.0 で利用できるのは aes128-cbc,blowfish-cbc,3des-cbc だけであり、AES CTR にも Arcfour にも対応していない模様。

  • Tera Term (旧称 UTF-8 TeraTerm Pro with TTSSH2): 欠陥ががあるかどうかは不明。 CVS 版では AES CTR に対応。 このあたりを参照。Arcfour には対応していない模様。 このあたり に 4.61 のα版あり。

毎日新聞が「UTC」に気づかず誤報、テレビ各局もつられる
(slashdot.jp, 2008.11.19)

 また毎日か……。関連:

 アカウントを取得すると JST 表示に設定できるのだそうですが、……試してみようかと思ったら拒否された。

以下の理由により、このIPアドレス (133.83.4.52) からのアカウント作成が 海獺 によってブロックされています。

ブロック理由: 龍谷大学。不特定多数ユーザー。暫定措置。

 これか: 投稿ブロック記録 利用者:133.83.0.0/16 (ウィキペディア)

Unbound 1.1.0 リリース
(unbound.net, 2008.11.18)

 出てます。追加された機能の一部:

 統計情報を簡単に取得できるのも便利そう。


2008.11.18

いろいろ (2008.11.18)
(various)

APSB08-23 : AIR update available to address security vulnerabilities
(Adobe, 2008.11.17)

 Adobe AIR 1.1 以前に欠陥。詳細は不明だが、攻撃者は上昇された権限において信頼されない JavaScript を実行できる。CVE-2008- 5108

 Adobe AIR 1.5 で修正されている。AIR 1.5 にはまた、 APSB08-18 APSB08-20 APSB08-22 で示される Flash Player の更新も含まれている。

追記

アドビ システムズ、 Adobe Flash Player 10の提供を開始

 Flash Player 10.0.12.36 / 9.0.151.0 には CVE-2008-4824 という欠陥もあったのだそうです。 この欠陥は AIR 1.1 以前にもあり、AIR 1.5 のリリースによって修正されるまで公開されませんでした。


2008.11.17

CPNI-957037: SSH 通信において一部データが漏えいする可能性
(JVN, 2008.11.17)

 少なくとも OpenSSH 4.7p1 に欠陥。デフォルト設定の状態で、SSH 暗号化通信を行っている場合に、2-18 という極めて低い確率ではあるが、任意の暗号化ブロックから 32bit の平文を取り出すことができる。またこの手法の変形版を使用すると、2-14 の確率で 14bit の平文を取り出すことができる。他の SSH 実装での状況は不明 (だが同様か?!)。 CVE-2008-5161

 回避するには、暗号化において CBC (暗号ブロック連鎖) モードではなく CTR (カウンター) モードを使用する。OpenSSH の場合、OpenSSH 3.7 以降で CTR モードを利用できる (aes128-ctr, aes192-ctr, aes256-ctr)。ただし、OpenSSH 4.6p1 以降 + OpenSSL 0.9.8e の場合には aes256-ctr および aes192-ctr は利用できない (OpenSSL 0.9.8e と共に利用すると不具合が発生するため)。

 OpenSSH の場合は CBC モードが優先される。ssh -2 -c aes256-ctr example.com のようにコマンドラインで指定したり、~/.ssh/config で Ciphers を指定したりすれば CTR モードを利用できる。GNU lsh の場合も CBC モードが優先され、同様に -c オプションで CTR モードを利用できる。PuTTY の場合はデフォルトで CTR モードが優先されるようだ。

 関連:

2008.11.19 追記:

 Plaintext Recovery Attack Against SSH (ssh.com, 2008.11.14) によると、SSH Tectia にも同じ欠陥があり、暗号化アルゴリズムとして CryptiCore または Arcfour を使用することで回避できるそうだ。 また、次のバージョンではこの欠陥は影響しないとされているが、具体的に何が変わっているのかは不明。

 Release Notes for SSH Tectia Client 6.0.5 (ssh.com) には、こう書かれていますね。

Bug Fixes In 6.0.5:
-------------------

- All platforms: Fixed transmission error handling logic in the 
  Secure Shell protocol library.

 転送エラー発生時の処理に欠陥があった?

 SSH通信において低確率ながら一部データが漏えいする可能性 (slashdot.jp, 2008.11.18) の #1457647 で「arcfour(RC4) (中略) も該当するのでしょうか?」と言っている人がいるのですが、arcfour は大丈夫っぽいですね。 というわけで、OpenSSH では、グローバルなクライアント設定ファイル (例: /etc/ssh/ssh_config) に

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour

のように書いておけば、とりあえずは ok かな (順序はお好みで)。OpenSSH 3.6 以前の場合は arcfour だけですね。

 その他の実装

2008.11.22 追記:

 関連:

2008.11.27 追記:

 http://ttssh2.sourceforge.jp/snapshot/ に Tera Term 4.61 RC1 が出てますね。

2008.12.02 追記:

 http://ttssh2.sourceforge.jp/snapshot/ に Tera Term 4.61 RC3 が出てますね。

2009.02.23 追記:

 OpenSSH 5.2 登場。暗号アルゴリズムとして AES CTR モードおよび改良版 arcfour256 モードが優先されるようになった。 また、CBC モードの暗号アルゴリズムについても、今回の攻撃に対する対抗策が追加された。

 Tera Term 4.61 正式版は 2008.12.16 に公開されていますね。

Samba 3.2 系列の vfs_streams_xattr に致命的なバグ発見
(だめだめ日記, 2008.11.16)

 vfs_streams_xattr を使うとファイルが壊れることがあるそうです。Samba 3.2.4 で直るのかな。

追記

Microsoft 2008 年 10 月のセキュリティ情報


2008.11.16


2008.11.14

[Nagios-devel] Security fixes completed
(Nagios-devel ML, 2008.11.07)

 Nagios 3.0.5 以前の cmd.cgi に CSRF 欠陥が存在し、remote から任意のコマンドを実行できる。CVE-2008-5028Re: CVE request: Nagios (two issues) (openwall, 2008.11.13) を読む限りでは、remote から任意のコマンドを実行できるのは Nagios 3.0.4 までみたいですが。

 Nagios 3.0.5p1 (http://www.op5.org/src/nagios-3.0.5p1.tar.gz) で修正されている。

Emacs 22.3 released
(nabble.com, 2008.09.06)

 Emacs 22.[12] において、run-python を実行したり eldoc-mode をトグルして対話的な python インタプリタが起動されるとき、カレントディレクトリがモジュール検索パスに含まれてしまうという話があり、Emacs 22.3 で修正されたのだそうだ。 関連:

About the security content of Safari 3.2
(Apple, 2008.11.13)

 Safari 3.2 登場。11 件の欠陥が修正されている。

 関連: Apple、「Safari 3.2」をリリース - セキュリティ対策がメイン (マイコミジャーナル, 2008.11.14)


2008.11.13

いろいろ (2008.11.13)
(various)

追記

クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告

 関連:

Microsoft 2008 年 11 月のセキュリティ情報

 MS08-068 のところに以下を追記。

 あと、MS08-068 日本語版における SMB 署名の有効・無効の件は、 2008.11.13 付で修正されました。

Vulnerability Note VU#800113 - Multiple DNS implementations vulnerable to cache poisoning

トレンドマイクロ ServerProtect に未修正の 8 つの欠陥、発見されたのは 2 年前
(IBM ISS, 2008.11.10)

 IBM ISS から以下の Advisory が公開されました。

 The Scoop on the X-Force TrendMicro Advisories (ISS, 2008.11.10) で状況が説明されている。 ずーっと「次の patch で直ります」と言っていたにもかかわらず、ぜんぜん直らない模様。直す能力がないということか?!

 #307 と #308 が発見・通知されたのは 2006 年末、#309 は 2007 年初頭、#310 は 2008 年初頭。しかしいずれも、今に至るまで欠陥が修正されていないというすばらしい状態。いずれの欠陥についても、ISS は「容易にアクセスできる」としている。

2008.11.19 追記:

 日本語版用で先行して patch が出たっぽい。該当するビルド番号は、 英語版のダウンロードページには存在しない。

 ただし、これで全部直っているのかどうかは不明。トレンドマイクロさん、CVE 番号書いてよ……。

Firefox 3.0.4 / 2.0.0.18, Seamonkey 1.1.13 が公開されています
(SANS ISC, 2008.11.13)

2008.11.20 追記:

 Thunderbird 2.0.0.18 が公開されています。高橋さん情報ありがとうございます。


2008.11.12

Bypassing pre-boot authentication passwords - by instrumenting the BIOS keyboard buffer (practical low level attacks against x86 pre-boot authentication software)
(DEFCON 16, 2008.08.10)

 BIOS キーボードバッファに残ったデータをサルベージすることによって起動前認証のパスワードを取得できてしまう模様。 これを利用することで、BitLocker や SafeBoot などといったディスク暗号化ツールも破れてしまう。

 BIOS Information Leakage (ouah.org) という文書もあるそうで。

Microsoft 2008 年 11 月のセキュリティ情報
(Microsoft, 2008.11.12)

 2 個。

MS08-068 - 重要: SMB の脆弱性により、リモートでコードが実行される (957097)

 Windows 2000 / XP / Server 2003 / Vista / Server 2008 に欠陥。 CVE-2008-4037

 もっと詳しい情報:

 MS08-068 英語版には Workaround の 1 つとして Enable SMB signing と書いてあるのに、MS08-068 日本語版には「SMB 署名を無効にする」と書いてある……。なんじゃこりゃ。

 ↑は 2008.11.13 付で修正されました。

MS08-069 - 緊急: Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (955218)

 Microsoft XML コアサービス 3.0 / 4.0 / 5.0 / 6.0 に 3 つの欠陥。

 複数のバージョンの MSXML コアサービスがインストールされている事の方が多いだろう。その場合、各バージョン毎に patch が必要となる。

 関連: 2008年11月のセキュリティリリース & Vista Antivirus 2008 (偽) (日本のセキュリティチーム, 2008.11.12)

2008.11.26 追記:

 Microsoft XML Core Services DTD Cross-Domain Scripting PoC MS08-069 (milw0rm)

追記

APSB08-19: Security Update available for Adobe Reader 8 and Acrobat 8

 攻撃が行われているようで。

Microsoft 2008 年 10 月のセキュリティ情報

 MS08-067 つづき。


2008.11.11

追記

名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス

 Google の「デフォルト公開」の罠は半端じゃない模様。

  • 本当はもっと怖いGoogleマイマップ (高木浩光@自宅の日記, 2008.11.10)

    なんと、自動保存されるようになっているのだ。図5で「OK」すら押していない段階で、もう登録されて公開されている。 (中略) Googleマイマップの編集中に暇を持て余してヘタなことでも書こうものなら、容赦なく自動公開されてしまうのだ。
    普通にマップを作っているときも、作成過程がそのまま実況中継のごとく公開され続ける。そんなこと誰が予見できようか?

    自動保存 → 自動公開。Google にはテンポラリという概念はない模様。そういえば、Google 検索の「キャッシュという名前のアーカイブ」も似たような話か。

 関連: 業務用途でGoogleマイマップを使ってはいけない (高木浩光@自宅の日記, 2008.11.09)

[SA32652] Trac Multiple Vulnerabilities
(secunia, 2008.11.11)

 Trac 0.11.2 がリリースされている。以下が修正されている。


2008.11.10

追記

無線暗号化技術「WPA」、一部解読される

 WPA-TKIP破られる (Tetsu=TaLowの雑記, 2008.11.08)。

しかし、この状況がいつまで保てるかもわからないので、遠からずすべてをWPA-PSK(AES)またはWPA2-PSK(AES)に変えていかないといけないんでしょう。ここで問題なのが、まだすべての無線LAN端末がAESをサポートしているわけではないことです。ちょっと古いパソコンの中には無線LAN用のチップが古くAESがサポートされていないものがあります。

 「100 年に 1 度という経済混乱」の真最中でもありますから、買いかえろと言われてはいそうですかと言える人ばかりじゃないわけで。


2008.11.09

CVE-2008-4309: netsnmp_create_subtree_cache 関数に Integer Overflow する欠陥
(NVD, 2008.11.08)

 net-snmp 5.2 / 5.3 / 5.4 に欠陥。agent/snmp_agent.c の netsnmp_create_subtree_cache 関数に Integer Overflow する欠陥があり、攻略 SNMP GETBULK リクエストによって crash する。CVE-2008-4309

 net-snmp 5.2.5.1 / 5.3.2.3 / 5.4.2.1 で修正されている。

[Clamav-announce] announcing ClamAV 0.94.1
(clamav.net, 2008.11.03)

 ClamAV 0.94.1 登場。少なくとも、以下の欠陥が修正されている模様。

追記

Security Advisory 0810: Buffer overflows in VLC RealText and CUE demuxers

 VLC media player 0.9.6 バイナリが公開されています。fu7mu4 さん情報ありがとうございます。

名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス


2008.11.07

マイクロソフト セキュリティ情報の事前通知 - 2008 年 11 月
(Microsoft, 2008.11.07)

 緊急 x 1、重要 x 1。

追記

名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス

 事例はまだまだあるようで。

 しかしなんと、マイマップを削除しようとしてもうまく削除できない事例がある模様。

  • 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥 (高木浩光@自宅の日記, 2008.11.06)

    このような事態の発生に備えて、マップを削除する前に、そのマップに登録した地点の情報を編集して「秘密の情報」などの部分を書き換え、意味のない文字列に変更しておくことが対策となるかもしれない。(必ずその変更が反映されるかどうかは確認できていない。)
    (中略)
    もしマップの削除で残骸が生じたとしても、このようにしておくことで、単に場所が指されているだけで、その意味はわからない状態とすることができ、被害を小さくできると考えられる。

 さらに、上記にとんでもない追記が!

  • 残骸ではなく復活している模様(7日追記) (高木浩光@自宅の日記, 2008.11.07)

    私は、4日から6日にかけて(時間の許す限り自宅から個人的に)、秘密にするべき情報が公開状態となっているマップについて、作成者の勤務先と思われるところに電話で連絡して、事実を伝える作業を行っていた。6日の夜には、あるキーワードのものについて、連絡した事案はほぼ消えた状態となっていたのを確認していた。ところが、7日の朝に再び検索してみると、何か所もの地域で、一部が残骸として残っていたり、全部が残っているものがヒットするようになり、これは残骸ではなく、消えたものが復活しているのだと認識した。
    復活しているといっても、マップ自体は消えているため、復活した登録地点は宙ぶらりんであり、作成者による削除操作は不可能になっている。
    復活してしまっている地域の何か所かについて、再び電話連絡をして事実を伝える作業を始めたところ、「昨日は完全に消えていたのに」という現場の証言も得られた。また、前日までに連絡していたところからこちらに電話があり、「復活しているようなんです。どうしたらいいのでしょうか」と問い合わせを頂いた事例も複数ある。
    いったいGoogleはどうなっているのか。もう私の手には負えない。どうしようもない。最悪だ。
  • [memo:9548] マイマップで消したはずの「地点」が見える。 高木氏の追記内容を確認。

アドビ システムズ、 Adobe Flash Player 10の提供を開始

 Flash Player 9.0.151.0 が公開されました。 Flash Player 10.0.12.36 / 9.0.151.0 に共通して修正されている欠陥が複数あるそうです。

 Flash Player ダウンロード (Adobe)。ただし、推奨されているのは Flash Player 10.0.12.36 への移行。

Microsoft 2008 年 10 月のセキュリティ情報

 MS08-067 つづき。

APSB08-21: Update available for potential ColdFusion 8 privilege escalation issue
(Adobe, 2008.11.05)

 ColdFusion 8.0.1 / 8.0.0 / 7.0.2 話。HotFix が公開されています。 CVE-2008-4831

EC-CUBE2.3.2とEC-CUBE1.4.9をリリースいたしました。(2008/11/07)
(EC-CUBE, 2008.11.07)

 EC-CUBE 2.3.1 以前 / 1.4.8 以前に SQL インジェクションや XSS を招く複数の欠陥があり、EC-CUBE 2.3.2 / 1.4.9 で修正されている。大半は EC-CUBE 2.3.1 / 1.4.8 で修正されており、積み残しが EC-CUBE 2.3.2 / 1.4.9 で修正された。

 なお、EC-CUBE 1.x のセキュリティ修正は 2008.12.31 をもって終了する。 利用者は EC-CUBE 2.x 系への移行などを検討されたい。

 関連:

2009.07.27 追記:

 いまだに修正されていないサイトがあるらしく、IPA から改めて注意喚起が: 「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起 (IPA, 2009.07.27)

 現時点では2009年7月8日に公開されたEC-CUBE 2.4.1が最新版のため、これ以前のものを使用している場合は、EC-CUBE 2.4.1以降の最新版への更新が必要です。

Security Advisory 0810: Buffer overflows in VLC RealText and CUE demuxers
(videolan.org, 2008.11.05)

 VLC media player 0.5.0 〜 0.9.5 に複数の欠陥。

 VLC media player 0.9.6 で修正されている。ただし、ソースは 0.9.6 が配布されているものの、バイナリについては 0.9.5 のままのようだ。Windows 版バイナリに至っては、いまだに 0.9.4 のままだ。

2008.11.09 追記:

 VLC media player 0.9.6 バイナリが公開されています。

無線暗号化技術「WPA」、一部解読される
(CNET, 2008.11.07)

 詳細は PacSec  カンファレンス 2008 の "Gone in 900 Seconds, Some Crypto Issues with WPA" で公開されるそうです。

 こっちの記事の方がいいかな: 無線LANのセキュリティ規格「WPA」の暗号鍵が部分的に破られる (ComputerWorld.jp, 2008.11.07)

2008.11.10 追記:

 WPA-TKIP破られる (Tetsu=TaLowの雑記, 2008.11.08)。

しかし、この状況がいつまで保てるかもわからないので、遠からずすべてをWPA-PSK(AES)またはWPA2-PSK(AES)に変えていかないといけないんでしょう。ここで問題なのが、まだすべての無線LAN端末がAESをサポートしているわけではないことです。ちょっと古いパソコンの中には無線LAN用のチップが古くAESがサポートされていないものがあります。

 「100 年に 1 度という経済混乱」の真最中でもありますから、買いかえろと言われてはいそうですかと言える人ばかりじゃないわけで。


2008.11.06

追記

名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス


2008.11.05

追記

Microsoft 2008 年 10 月のセキュリティ情報

 MS08-067 つづき。

APSB08-19: Security Update available for Adobe Reader 8 and Acrobat 8
(Adobe, 2008.11.04)

 Adobe Reader 8 / Acrobat 8 に複数の欠陥。

 Adobe Reader / Acrobat 8.1.3 で修正されている。

 現在、Adobe Reader / Acrobat のアップデート機能を使った更新は、なぜかうまくいかないようだ。手元の Acrobat 8 でも、[ヘルプ]→[アップデートの有無をチェック] すると、Adobe Updater のアップデートに失敗してうまく更新できない。尾上さん情報ありがとうございます。上記リンクからスタンドアロンのアップデータを入手して実行しよう。

 また、Adobe Reader / Acrobat 9 にはこの欠陥はない。最新版へ移行できるのなら、移行を推奨する。

 なお、Adobe Reader / Acrobat 8 インストール・アンインストール時あるいは Adobe Reader / Acrobat 9 インストール時に内部エラー 2229 が表示される場合は、以下を参照。尾上さん情報ありがとうございます。

 関連:

2008.11.12 追記:

 攻撃が行われているようで。

2008.12.04 追記:

 関連: インターネットで広まるPDFマルウエア (日経 IT Pro, 2008.12.04)

2008.12.08 追記:

 関連: 11月公開のPDFのぜい弱性は攻撃コード作成が容易,速やかに更新を (日経 IT Pro, 2008.12.08)

非営利団体、Google Chromeのプライバシー保護に問題ありと指摘
(ITmedia, 2008.11.05)

 文句はβのうちに言っておきましょう。

 Consumer WatchdogはChromeの問題点として次の点を挙げている。

 元ねた: Consumer Watchdog Exposes Google Privacy Problems & Calls For Attorneys General Investigation (Consumer Watchdog, 2008.11.03)

名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス
(中日, 2008.11.05)

 え? Google Map で個人情報? と思ったら、

 同病院は、住所や情報を入力すると目印を地図上に示せるグーグルマップの機能「マイマップ」を利用。患者の送迎ルートを決める際などに便利だからと使っていたが、個人情報が掲載されたこの地図が誰でも見られる状態だった。
 マイマップは、店舗や施設の情報を共有することを前提にしたもので、不特定多数の人がネット上で閲覧できる初期設定になっている。同病院は個人や組織内で使う場合の「非公開」に設定すべきだったが、地図作成時に変更していなかったという。

 「デフォルト公開の罠」にはまった模様。

 病院側は「(地図の作成や変更には)パスワードが必要なので、外部には閲覧できないと思い込んでいた。患者らに申し訳ない。情報管理を徹底したい」としている。

 勘違いしかねない UI、ということですかねえ。「思い込み」のパワーは極めて強力だしなあ。

 マイマップをめぐって個人情報を意図せず公開してしまう例が発生しており、グーグル日本法人は「利用規約を守って使ってほしい。閲覧者がルール違反の地図を通報する機能もある」と呼び掛けている。

 昔の Microsoft を連想した……。

2008.11.05 追記:

 「非公開」なら安全というわけでは全くない模様。 今度はGoogleマップで意図しない個人情報流出騒ぎ (slashdot.jp, 2008.11.04) より

なお、「公開/非公開」の違いは「非公開マップは作成したマイマップがユーザープロフィールページや検索結果で表示されない」だけなので、非公開マップでもURLが分かればアクセスできてしまう。そのため、Google以外の検索エンジンでば非公開マップが検索結果として表示されることもあるようだ。

 一般公開マップと限定公開マップの違いは? (Google ヘルプ) より:

ただし、限定公開のものを含みすべてのマップには URL が付いていることに注意してください。原則として、誰にも見られたくない地図はここで作成しないことをお勧めします。

 そういうオチかい……。

 関連:

2008.11.06 追記:

 関連:

2008.11.07 追記:

 事例はまだまだあるようで。

 しかしなんと、マイマップを削除しようとしてもうまく削除できない事例がある模様。

 さらに、上記にとんでもない追記が!

2008.11.09 追記:

 関連:

2008.11.11 追記:

 Google の「デフォルト公開」の罠は半端じゃない模様。

 関連: 業務用途でGoogleマイマップを使ってはいけない (高木浩光@自宅の日記, 2008.11.09)


2008.11.04

追記

Microsoft 2008 年 10 月のセキュリティ情報

 MS08-067 つづき。ついに来たようです。「準備できてる?」

いろいろ (2008.11.04)
(various)


2008.11.02

追記

VideoLAN Security Advisory 0809: Buffer overflow in VLC TiVo demuxer

 VLC media player 0.9.5 が登場しています。ただし、Windows 版のバイナリはまだ存在しないようです。


[セキュリティホール memo]
私について