セキュリティホール memo - 2014.01

Last modified: Mon Mar 30 12:39:24 2015 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2014.01.31

libcurl re-use of wrong HTTP NTLM connection
(cURL, 2014.01.29)

 libcurl 7.10.6 〜 7.34.0 に欠陥。NTLM 認証を使うサイトにアクセスする場合に、あるユーザが使用した認証済みコネクションを、別のユーザがアクセスする時に、認証済のまま再利用してしまう。CVE-2014-0015

 libcurl 7.35.0 で修正されている。また 7.28.0〜7.34.0 用の patch と 7.27.0 用の patch が用意されている。

 iida さん情報ありがとうございます。

BIND 9.9.5、9.8.7、9.6-ESV-R11 公開
(ISC, 2014.01.31)

 BIND 9.9.59.8.79.6-ESV-R11 公開。2 件の欠陥が修正されてます。

 なお、BIND 9.6-ESV は EOL に到達したので、今後はサポートされない。

いろいろ (2014.01.31)
(various)

OpenSSH

Joyful Note

MediaWiki

追記

RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ

 関連:


2014.01.30

【Gmailユーザー緊急連絡】1/15〜21の間にメールが「届いてないよ」になったみなさまへ
(More Access! More Fun!, 2014.01.29)

 2014.01.15 (日付は太平洋標準時のようです) における Gmail ヘのソフトウェアアップデートに不具合。 Gmail for iOS, Gmail in a mobile browser, Gmail Offline の利用者 (の一部? dailymail 記事によると前記利用者の 0.2%) において、通常配送されるべきメールがゴミ箱、迷惑メール、あるいは他のフォルダに配置されてしまっていた。

 この不具合自体は 2014.01.21 に修正されたけど、当該メールをゴミ箱等から救い出す作業はユーザ自身が実行する必要があるようで。特にゴミ箱と迷惑メールフォルダについては、何もしないと 30 日後に消去されてしまうので注意。 当該メール通知が届いている人は作業しませう。

 関連:

追記

いろいろ (2014.01.16)

 サイファー・テック社 cymon.sys の件、対応されたそうです。


2014.01.29

いろいろ (2014.01.29)
(various)

poppler

Libreswan

Fail2ban

Android 4.3, 4.4

RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ
(インフラエンジニアway - Powered by HEARTBEATS, 2014.01.29)

 BGM: てんやわんやですよ (クレイジーケンバンド)

 クライアント側で保有している GlobalSign のルート証明書が期限切れになったので GlobalSign なサーバにつながらないという話。RHEL 5 の場合は RHEA-2014:0104-1 (RedHat, 2014.01.28) を適用すればよいみたい。

This update provides the following enhancement:

* An expired GlobalSign Certification Authority certificate was replaced by an updated certificate in the /etc/pki/tls/certs/ca-bundle.crt file, which contains the certificates of trusted certification authorities.

 Red Hat 君、それを「enhancement」と呼ぶのかね……。

 これに対応する CentOS 用のアップデートはまだ出てない模様。 http://ftp.redhat.com/pub/redhat/linux/enterprise/5Client/en/os/SRPMS/openssl-0.9.8e-27.el5_10.1.src.rpm とかから ca-bundle.crt だけ抜き出して /etc/pki/tls/certs/ca-bundle.crt にコピっちゃえばいいんじゃないかな。

 関連:

2014.01.31 追記:

 関連:

追記

About the security content of iTunes 11.1.4

 Windows 版 iTunes 11.1.4 へのアップデート時のトラブル事例って多いんですかねえ。いや、手元の Windows 7 でも「MSVCR80.dllがないため、プログラムを開始できません」が出たのですが。

 基本的には、こうすればいいみたい。詳細は、Windows Vista、Windows 7、または Windows 8 で iTunes およびその他のソフトウェアコンポーネントを削除および再インストールする (Apple) を参照。


2014.01.28

いろいろ (2014.01.28)
(various)

CUPS

気づけばプロ並みPHP (書籍)

サイボウズ ガルーン

 サイボウズ ガルーン 3.7 Service Pack 3 で以下の欠陥が修正されている。

[JS14001] 三四郎の脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2014.01.28)

 三四郎 2007〜2010 および三四郎ビューアに欠陥。0day かどうかは不明。修正モジュールが公開されているので適用すればよい。CVE-2014-0810

2014.02.10 追記:

 日本語表計算ソフト「三四郎」に対するゼロデイ攻撃を確認 (トレンドマイクロ セキュリティ blog, 2014.02.10)

Chrome Stable Channel Update
(Google, 2014.01.27)

 Chrome 32.0.1700.102 登場。14 件のセキュリティ欠陥が修正されている。


2014.01.27


2014.01.26

いろいろ (2014.01.26)
(various)

libvert

  • Releases - 1.2.1: Jan 16 2014 (libvirt.org, 2014.01.16)

    CVE-2014-0028 event: filter global events by domain:getattr ACL (Eric Blake),
    CVE-2014-1447-2 Really don't crash if a connection closes early (Jiri Denemark),
    CVE-2014-1447-1 Don't crash if a connection closes early (Jiri Denemark),
    CVE-2013-6458-4 qemu: Fix job usage in virDomainGetBlockIoTune (Jiri Denemark),
    CVE-2013-6458-3 qemu: Fix job usage in qemuDomainBlockJobImpl (Jiri Denemark),
    CVE-2013-6458-2 qemu: Avoid using stale data in virDomainGetBlockInfo (Jiri Denemark),
    CVE-2013-6458-1 qemu: Do not access stale data in virDomainBlockStats (Jiri Denemark),
    CVE-2013-6457 libxl: avoid crashing if calling `virsh numatune' on inactive domain (Dario Faggioli),
    CVE-2013-6436: fix crash in lxcDomainGetMemoryParameters (Martin Kletzander)

Pages

追記

注意喚起情報: 正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について

 GRETECH JAPAN から、より詳細な情報が開示されました:

  • 報道に対する弊社からのお詫びとお知らせ (GRETECH JAPAN, 2014.01.24)。やっぱり侵入されていたそうで。

    (1)GOM Playerアップデートサーバーの攻撃について
    2013年12月27日から2014年1月16日にかけて、断続的に米国ニューヨーク所在のGOM Playerアップデートサーバー(app.gomlab.com)に対し、不正アクセスがあったことを確認いたしました。

    (2)マルウェアへの感染について
    (1)の不正アクセスにより、GOM Playerのアップデートの際、本来のアップデートサーバー(app.gomlab.com)から意図しない外部の第三者サイトに誘導され、GOM Player日本語版のインストールプログラム(GOMPLAYERJPSETUP.EXE)を装ったマルウェアがダウンロード、実行される可能性があったことが明らかになりました。

    あと、インストーラ自体は今回の事象の前から電子署名されていたようで。

    GOM Player日本語版のインストールプログラム(GOMPLAYERJPSETUP.EXE)にはデジタル署名がございます。ダウンロードしたGOM Player日本語版のインストールプログラム(GOMPLAYERJPSETUP.EXE)を右クリックし、[プロパティ]から[デジタル署名]タブがあることを確認してから実行してください。署名者名がGRETECH、タイムスタンプが2013年12月19日 11:11:52と表示されていれば、弊社が公式に提供している安全なインストールプログラムです

    自動更新機能がこれをチェックしていれば……。

    (5)GOM Playerユーザーのみなさまへのお願い
    (3)の期間中に、GOM Player日本語版のアップデートをされた可能性があるユーザーのみなさまにおかれましては、セキュリティソフトを最新の状態にアップデートしたうえで、ウイルスチェックと駆除を実行してくださいますようお願い申し上げます。ご利用のPCの安全が確認されましたら、GOM Playerを公式サイトよりインストールしてご利用ください。

    マルウェア部分については、主要アンチマルウェアベンダーでは対応されたと考えていいのかなあ? piyolog 記事 に出てくる install.ocx の VirusTotal 検出結果 は 10/47 なんだけど、 御三家は検出しているからいいのかなあ。

 やっぱり、LAC さんの注意喚起にある、

インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、DOWN_URL の項目が https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

と、

当社が把握している遠隔操作サイトは以下です。
testqweasd.tk
211.43.220.89
114.202.2.4

の確認はした方がよさげだなあ。 testqweasd.tk は今は 211.43.220.89 だけど、少なくとも 2014-01-09 06:33:02 には 114.202.2.4 だったみたい。

 関連:

  • 高速増殖炉もんじゅ 事務端末のウイルス感染とGOM Playerのアップデートを使った攻撃についてまとめてみた。 (piyolog)。すごい勢いで改訂されてます。超充実の内容。 攻略対象のホストからアップデートを開始すると、本物の GOM Player とマルウェアの両方がインストールされた模様。

  • 動画再生ソフト「GOMプレーヤー」更新で感染 (読売, 2014.01.24)

     行政機関を標的としている可能性もあり、高速増殖炉「もんじゅ」(福井県)のパソコンもこの手口で情報を抜き取られていたことが判明。内閣官房情報セキュリティセンター(NISC)は23日、全省庁を対象に同ソフトの更新を禁じる注意喚起を出した。

    そうなんだ……。

     関係者によると、攻撃者は特定のIPアドレス(ネット上の住所)のパソコンに対してウイルスを送り込むよう細工をしており、この中には中央省庁などの行政機関のIPアドレスが入っていた。

    その他大勢については、マルウェアなしでアップデートするようになっていたと……。


2014.01.24

いろいろ (2014.01.24)
(various)

Juniper Screen OS

Cisco 方面

About the security content of iTunes 11.1.4
(Apple, 2014.01.22)

 iTunes 11.1.4 公開。Windows 版のみの欠陥 24 件、Windows 版および Mac OS X 版の欠陥 1 件が修正されている。Windows 版で使用されている libxml は 2.9.0、libxslt は 1.1.28 になった。

 Google Chrome Security Team からの通報多いなあ。

2014.01.29 追記:

 Windows 版 iTunes 11.1.4 へのアップデート時のトラブル事例って多いんですかねえ。いや、手元の Windows 7 でも「MSVCR80.dllがないため、プログラムを開始できません」が出たのですが。

 基本的には、こうすればいいみたい。詳細は、Windows Vista、Windows 7、または Windows 8 で iTunes およびその他のソフトウェアコンポーネントを削除および再インストールする (Apple) を参照。

Google Chromeにパソコンを盗聴器に変える脆弱性、---米メディアが報道
(日経 IT Pro, 2014.01.23)

 最新の Chrome でも動作。まだ修正されていない。

 Ater氏が9月13日にGoogleに脆弱性の発見を報告したところ、9月19日までに同社エンジニアはバグを特定し、修正すると答え、9月24日にパッチが用意された。しかし、いっこうにパッチがリリースされないためGoogleのエンジニアリングチームに問い合わせたところ、標準化関連部門の承認を得られていないとの回答だった。最初の報告から4カ月が経った現在も、脆弱性は修正されていないという。
 Gizmodoの報道によると、Googleは「当該機能はW3C(World Wide Web Consortium)の現在の標準規格に準拠している」との見解を示している。

 つまり、仕様であると?

注意喚起情報: 正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について
(LAC, 2014.01.23)

 GOM Player に備わっている自動更新機能を使ってマルウェアに感染させる事例が複数発生。GOM Player は起動時に http://app.gomlab.com/jpn/gom/GrVersionJP.ini というファイルを取得し、その内容に基づいて自動更新を行うのだが、

本事案においては、アップデート設定ファイルの入手の際、「正規サイト」ではなく、全く別の「踏台サイト」に転送接続するよう仕掛けられていました。この「踏台サイト」への転送接続は、 1) たとえばDNSキャッシュポイズニングのような通信経路内での改ざん、もしくは 2) 接続がリダイレクトされるように「正規サイト」が改ざんされた、等が考えられます。
なお、この「踏台サイト」は日本国内で稼働しているWebサイトであり、攻撃者により不正に侵入を受け悪用されたと考えられます。

 LAC は慎重に複数の可能性を述べているが、一部報道に対する弊社の見解について(1月24日更新) (GOM Player, 2014.01.23) によると

弊社では一般社団法人JPCERTコーディネーションセンター(https://www.jpcert.or.jp/)の協力を受け、アップデートサーバーへの攻撃について、調査を進め対策を行っております。

現時点でGOM Playerアップデートサーバーの安全性は確認しておりますが、今回報道されている事象が現時点でも発生していた場合の可能性を踏まえ、ユーザーのみなさまに安全なソフトウェアを提供することを最優先と考え、GOM Playerを含むすべてのGOM製品(GOM Encoder、GOM Audio、GOM Tray)のアップデートサービスを一時中止させていただいております。

 GOM Player アップデートサーバが攻撃を受け、過去の一定期間において攻略・侵入されていたように読める。だとすると、上記の『2) 接続がリダイレクトされるように「正規サイト」が改ざんされた』のような状況になった可能性が高い。

 たとえアップデートサーバが攻略され、にせのアップデートファイルが配布されたとしても、ファイルの電子署名を確認し、自社によるものでなければ弾くような機構があらかじめ備わっていれば、GOM Player の安全性は確保できた。しかしそうはなっていなかった模様。

 類似の脆弱性としては、たとえば CVE-2011-4161 がある (米研究者がHPプリンタの脆弱性を実証——乗っ取られ、制御される恐れも)。 この場合は「自動更新機能を無効化して回避」できた。 GOM Player も同様に、設定によって自動更新機能を無効化できる模様。 環境設定 > 一般 (GOM Player)。

 HP プリンタでは、電子署名を検証するような修正によって対応された。 GOM Player でもそうなされるのが吉だが、どうなるのかな。

 関連:

2014.01.26 追記:

 GRETECH JAPAN から、より詳細な情報が開示されました:

 やっぱり、LAC さんの注意喚起にある、

インストールフォルダにある「GrLauncher.ini」をメモ帳などで開き、VERSION_FILE_URLの項目が http://app.gomlab.com/jpn/gom/GrVersionJP.ini 以外になっていないか確認する。
ユーザーのローカルフォルダ※にあるファイル「GrVersion.ini」をメモ帳などで開き、DOWN_URL の項目が https://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE 以外になっていないか確認する。

と、

当社が把握している遠隔操作サイトは以下です。
testqweasd.tk
211.43.220.89
114.202.2.4

の確認はした方がよさげだなあ。 testqweasd.tk は今は 211.43.220.89 だけど、少なくとも 2014-01-09 06:33:02 には 114.202.2.4 だったみたい。

 関連:

2014.02.05 追記:

 Abused update of GOM Player poses a threat (Kaspersky, 2014.02.04)

2014.03.04 追記:

 もんじゅの件、GOM Player であることが公式に判明。

2014.03.13 追記:

 GRETECH JAPAN からの公式情報公開。2014.03.07 からアップデート再開だそうだ。

2014.03.26 追記:

 GRETECH、問題となっていた標的型攻撃への対策を施した「GOM Player」v2.2.57.5189 (窓の杜, 2014.03.25)

追記

Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks (2013.12.31)

 NTPがDDoS攻撃の踏み台として使用される問題のSEILシリーズへの影響について (SEIL, 2014.01.24 更新)。対策版ファームウェアが公開された。


2014.01.22

いろいろ (2014.01.22)
(various)

OpenPNE

EC-CUBE

Sleipnir Mobile for Android

Moodle

Tor

  • [tor-talk] Tor 0.2.4.20 is released (Tor Project, 2013.12.23)。複数の条件が合致すると、弱い乱数生成器を使ってしまう欠陥 CVE-2013-7295 が修正された。複数の条件とは:

    1. OpenSSL 1.0.0 以降を利用
    2. torrc で "HardwareAccel 1" を設定
    3. Intel の Sandy Bridge または Ivy Bridge を使用
    4. DataDirectory に state ファイルがない

LibTIFF


2014.01.21


2014.01.20


2014.01.17

いろいろ (2014.01.17)
(various)

VMware

Nagios, Icinga

 Icinga は 1.10.2, 1.9.4, 1.8.5 で修正されているみたい。

 Nagios は Git リポジトリでは修正されているみたい。

ASUS

追記

いろいろ (2014.01.16)

 電子書籍Booklive!がDRMでマルウェア配信中 (山本 一郎, 2014.01.16)。サイファー・テック社 cymon.sys の件。


2014.01.16

いろいろ (2014.01.16)
(various)

サイファー・テック社 cymon.sys

Drupal

BlackBerry

Cisco

Memcached

2014.01.17 追記:

 電子書籍Booklive!がDRMでマルウェア配信中 (山本 一郎, 2014.01.16)。サイファー・テック社 cymon.sys の件。

2014.01.30 追記:

 サイファー・テック社 cymon.sys の件、対応されたそうです。

Chrome Stable Channel Update
(Google, 2014.01.14)

 Chrome 32 が Stable に。Windows・Chrome Frame は 32.0.1700.76、Linux・Mac OS X は 32.0.1700.77。11 件の欠陥が修正されている他、Flash Player も 12.0.0.41 に更新。

Oracle Critical Patch Update Advisory - January 2014
(Oracle, 2014.01.14)

 Oracle 四半期 patch 出ました。例によってどっさり。 次回は 2014.04.15。

 Java:

APSB14-02: Security updates available for Adobe Flash Player
(Adobe, 2014.01.14)

 Flash Player および AIR の更新版登場。Flash Player のセキュリティ機構を回避できる欠陥 CVE-2014-0491 と、アドレスが漏洩する欠陥 (メモリアドレス配置乱数化の打破に利用できる) CVE-2014-0492 が修正されている。Priority rating は Linux 版と AIR が 3、他は 1。

プラットホーム バージョン
Windows 12.0.0.38
Mac 12.0.0.38
Linux 11.2.202.335
Google Chrome 12.0.0.41
Windows 8 / Server 2012 / RT の Internet Explorer 10 12.0.0.43
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 12.0.0.43
AIR 4.0.0.1390 (Windows)
4.0.0.1390 (Mac)
4.0.0.1390 (Android)
AIR SDK & Compiler 4.0.0.1390

 Windows / Mac 用には 11.7.700.260 も用意されている。

2014.01.21 追記:

 日本語訳: APSB14-02: Adobe Flash Player用のセキュリティアップデート公開 (Adobe, 2014.01.14)

APSB14-01: Security Updates available for Adobe Reader and Acrobat
(Adobe, 2014.01.14)

 Adobe Reader / Acrobat 10.x、11.x に 3 件の欠陥 (メモリ破壊 x 2、use-after-free x 1) があり、いずれも任意のコードの実行を招く。 CVE-2014-0493 CVE-2014-0495 CVE-2014-0496。 Priority rating は Windows 版・Mac OS X 版共に 1。

 Adobe Reader / Acrobat 10.1.9、11.0.06 で修正されている。

2014.01.21 追記:

 日本語訳: APSB14-01: Adobe ReaderおよびAcrobat用セキュリティアップデート公開 (Adobe, 2014.01.14)

マイクロソフト 2014 年 1 月のセキュリティ情報
(マイクロソフト, 2014.01.15)

 予定どおり出ました。

MS14-001 - 重要: Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (2916605)

 Word 2003・2007・2010・2013、SharePoint Server 2010・2013、Office Web Apps 2010・2013、Office 互換機能パック、Word Viewer に 3 つの欠陥。

MS14-002 - 重要: Windows カーネルの脆弱性により、特権が昇格される (2914368)

MS14-003 - 重要: Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2913602)

 Windows 7、Server 2008 R2 の Windows カーネル モード ドライバー (win32k.sys) に欠陥。local user による権限上昇が可能。CVE-2014-0262

MS14-004 - 重要: Microsoft Dynamics AX の脆弱性により、サービス拒否が起こる (2880826)

 Microsoft Dynamics AX 4.0、2009、2012・2012 R2 に欠陥。ユーザー入力を正しく処理しないため、DoS 攻撃を受ける。CVE-2014-0261

 関連:


2014.01.15

追記

IMEのオンライン機能利用における注意について (2013.12.17)

 関連:


2014.01.14

追記

Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks (2013.12.31)

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2014年1月14日公開) - NSEC3運用中の権威DNSサーバーが対象、バージョンアップを強く推奨 -
(JPRS, 2014.01.14)

 BIND 9.6.0以降に欠陥。「権威DNSサーバーとしてNSEC3を用いてDNSSEC署名されたゾーンを保持している場合」に欠陥があり、「特定のDNS問い合わせを処理中に、namedが"INSIST"メッセージを出力して異常終了する」。 保持していることが条件であり、プライマリだけではなくセカンダリも対象となるので注意。 CVE-2014-0591

本脆弱性は、

・権威DNSサーバーとして、NSEC3を用いてDNSSEC署名されたゾーンを保持し
  ているnamed

のみが該当します。キャッシュDNSサーバー機能のみのnamed(*3)、及び権
威DNSサーバーであっても当該のゾーンを保持していないnamedは、本脆弱性
の対象となりません。

 BIND 9.9.4-P2、9.8.6-P2、9.6-ESV-R10-P2 で修正されている。

Chromeの拡張機能Window Resizerがマルウェアを含んでいたことが発覚
(gigazine, 2014.01.14)

 使いやすいと評判の拡張機能だったようなのですが……

 ……実は、Google 検索結果を勝手に改ざんする拡張機能だったようです。

 さらに、

GoogleのフォーラムではWindow Resizerに対して「ユーザーのIDやパスワードなど個人情報を取得するもの」として議論が巻き起こっています。

 利用者はとりあえず、アンインストールした上で、念のために利用サイトのパスワードを全て変更した方がよさそうです。

Ionut Botizan氏は公開を取りやめた理由を「広告表示に関するGoogleのポリシーに抵触したため」と説明しています。

 これは、上記の「Google 検索結果を勝手に改ざん」の件なんだろうなあ。


2014.01.13

追記

JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性 (2013.12.18)

 AndroidのWebViewの脆弱性についての私的なまとめ (金利0無利息キャッシング — キャッシングできます, 2014.01.10)。mala さんによるまとめ。

ユーザー側で取れる対策について
  • ブラウザはGoogle Chrome, Firefox, Operaのいずれかを使ったほうが良いです。
  • こういうことを言うのは本当に心苦しいけれど、それ以外のブラウザを使うのは避けたほうがよい https://twitter.com/bulkneets/status/352810246223310851

 うわぁ、マジですか……。

Androidのソースコードレベルでは、報告されてから60日以内に修正されているだろうし、その後のAPI設計の変更も適切だろうけれど、この問題はまさにOS側での修正が無理なら無理で、アプリケーション側での迂回や、ユーザー側での回避策(標準ブラウザを使わない、信用出来ないWiFiを使わない、等)が取れる状況であったのに、Googleからは脆弱性情報としては公表されなかった。

公表されることで攻撃される可能性が高まるのか、あるいは、個々のアプリ側の対策やユーザー側の自衛によってリスクが低くなるのか、どのタイミングでの公表が適切だったのか、ハッキリ言って全く分からない。わからないのだけれど、今となっては既に十分すぎるほど「公表されている」状態だと思うので、古いAndroidが市場に残っている以上は、アプリ開発者側での対策やユーザー側での自衛手段を周知していく必要があるんじゃないかと思う。(あるいは古いAndroidはサポート期限切れだから使うなと全力で広報する)

 そういう状況である Android が今や王座に座っているからなぁ……。

OSSにおいて、セキュリティアドバイザリやコミットログから攻撃コードを推測しにくいようにするということが、ちょくちょく行われている。 実際にはセキュリティ上の理由での修正なのだけれど、リファクタリングや方針転換のように見せかけて、問題の原因となるファイルを丸ごと削除したり入れ替えたりする。あるいは、セキュリティ修正と機能追加を含む社内ブランチをまとめてマージして、修正箇所を分かりにくくするといったテクニックが使われたりする。

隠すことによるセキュリティの一種のように思えるのだけれど、diffの難読化のようなことが是非はともかく現実に行われている。

 そうなんだ……。


2014.01.12

SYM14-001: Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Privilege Assumption, Policy Bypass, Local Elevation of Privilege
(Symantec, 2014.01.09)

 Symantec Endpoint Protection 11.x、12.0、12.1.x に 3 つの欠陥 CVE-2013-5009 CVE-2013-5010 CVE-2013-5011 。SEP 11.0.7.4、12.1.2 で修正されている。

NATO により報告された XSS および CSRF に関する脆弱性を修正した MVM の Hotfix について
(マカフィー, 2014.01.09)

 McAfee Vulnerability Manager 7.5.5 以前の XSS および CSRF 欠陥。 7.5.5、7.5.4、7.0.11 用の hotfix が用意されたので適用すればよい。 他については、

MVM 7.5.3 (およびそれ以前のバージョン) の場合は、FSUpdate を実行するか http://update.foundstone.com へアクセスして最新 Patch をダウンロードしてください。MVM 7.0.11 あるいは MVM 7.5.5 の場合は、McAfee テクニカルサポートへコンタクトを取り、Hotfix の提供を受けてください。

2014.01.10

いろいろ (2014.01.10)
(various)

libpng

puppet

FreeRDP

vBulletin

 vBulletin 4.x、5.x に 0-day 欠陥があり、それを突かれて openSUSE のパブリックフォーラムがヤラれた模様。openSUSE はパブリックフォーラムを閉鎖。

 openSUSE が使っていたのは vBulletin 4.2.1 だったらしいのだけど、 侵入したハッカー達は、この欠陥は 5.x でも有効だとしている。 あと、こんな件:

  • YUI Security Issue found in uploader.swf (vBulletin, 2014.01.03)。vBulletin 4 に含まれる YUI ライブラリは欠陥があり、かつメンテナンスされていないバージョンだそうで。 vBulletin 5 にも含まれているけど、これは使われていないのだそうで。 vBulletin としては、YUI のファイルについては、同じ名前の空ファイルに置き換えることを推奨している。 具体的には、clientscript/yui/uploader/assets または /core/clientscript/yui/uploader/assets にある uploader.swf を削除し、同じ名前の空ファイルをつくる。

来週出る更新プログラム
(various)

 Microsoft、Adobe、Oracle 来ます。


2014.01.09

Windowsのエラー報告機能が原因でPCの個体識別コードなど各種データが漏れる危険性があることが判明
(gigazine, 2014.01.07)

 元ねた: Are Your Windows Error Reports Leaking Data? (Websense, 2013.12.29)

Affected versions of Windows include Windows XP, Vista and Windows 7, as well as application crash reports from Microsoft applications on OS X. Windows 8 PCs enforce TLS encryption on all application telemetry to WER, following IT security best practices.

 Windows XP、Vista、7、および Mac OS X 上の Microsoft アプリにおいて、 Microsoft エラー報告で Microsoft に送られる情報 (の一部) は暗号化されていない。通信路を盗聴できれば Microsoft エラー報告の内容を容易に取得できる。

 Microsoft 自身、それを公表している。Windows Error Reporting and the Problem Reports and Solutions Feature in Windows Vista (Microsoft Technet)

 つまり、ほとんどの場合には、アプリケーション名やバージョン、モジュール名やバージョン、例外コードといったソフトウェア「パラメーター」のみがエラー報告に含まれ……暗号化されないと。

 で、NSA のハッキング組織 TAO は実際にそれを使ってよろしくやってましたということが明らかになったわけです。

 対応:

 関連:


2014.01.08


2014.01.07

OpenSSL 1.0.1f、1.0.0l 公開
(OpenSSL, 2014.01.06)

 OpenSSL 1.0.1f、1.0.0l 公開。計 3 件の欠陥が修正されている。iida さん情報ありがとうございます。

追記

いろいろ (2013.12.26)

 OpenSSL 1.0.1f が公開された。 CVE-2013-6449 が修正されている。


2014.01.06

some codes and notes about the backdoor listening on TCP-32764 in linksys WAG200G.
(Github, 2013.12.31)

 Linksys, Cisco, Netgear 等から販売されている SOHO ルータ製品の 32764/tcp にバックドアがあり、無認証でパスワードを入手したり、デフォルト設定にリセットしたり、その他いろいろできる模様。さらに、一部機器では WAN 側からそれが可能な模様。一覧になっているのでご確認のほど。 おおもとのバックドアは Sercomm 社が作成した模様。 関連:

2014.04.23 追記:

 つづきがあった模様: Port 32764 Router Backdoor is Back (or was it ever gone?) (SANS ISC, 2014.04.23)。特定のパケットを送るとバックドアが復活する……。

追記

Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks (2013.12.31)

 CVE-2013-5211。4.2.7p26 で対応されていたのですか。


2014.01.04


2014.01.01

 あけましておめでとうございます。今年もよろしくおねがいいたします。


[セキュリティホール memo]
[私について]