セキュリティホール memo - 2016.04

Last modified: Mon Mar 30 12:18:31 2016 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2016.04.29

追記

ケータイキット for Movable Typeの脆弱性について (2016.04.25)

 エイベックスもヤラれたようです。

April 2016 NTP-4.2.8p7 Security Vulnerability Announcement (Medium)
(ntp.org, 2016.04.26)

 ntp-4.2.8p7 公開。11 件の、重大性が低〜中のセキュリティ欠陥を修正。 報告者欄は Cisco ASIG と Qihoo 360 が目立つ。 CVE-2015-7704 CVE-2015-8138 CVE-2016-1547 CVE-2016-1548 CVE-2016-1549 CVE-2016-1550 CVE-2016-1551 CVE-2016-2516 CVE-2016-2517 CVE-2016-2518 CVE-2016-2519


2016.04.28

いろいろ (2016.04.28)
(various)

Squid

VMware

Apache Struts 2.3.28.1, 2.3.24.3, 2.3.20.3 公開
(Apache.org, 2016.04.19)

 Apache Struts 2.3.28.1, 2.3.24.3, 2.3.20.3 公開。リモートから任意のコードを実行できる欠陥 2 件を修正。

 Struts 2.3.24.3, 2.3.20.3 では、Struts 2.3.28 で修正されていた欠陥 1 件も修正されている。

 関連:


2016.04.27


2016.04.26

追記

ケータイキット for Movable Typeの脆弱性について (2016.04.25)

 関連:


2016.04.25

ケータイキット for Movable Typeの脆弱性について
(アイデアマンズ, 2016.04.22)

 ケータイキット for Movable Type 1.35〜1.641 の画像処理機能に欠陥、攻略リクエストによって OS コマンドインジェクションが可能。J-WAVE がヤラれた件はこの欠陥が原因だと (一時) アナウンスされた (現在、当該記述は削除されている)。 下末さん情報ありがとうございます。

 日本テレビがヤラれた件も同様なのかどうかは不明。

 ケータイキット for Movable Type 1.65 で修正されている。 適用後、

ケータイキット for Movable Type 1.35 から、1.63 までをお使いの方は、ウェブサイトとブログの全体再構築を実施してください。

 また 1.35〜1.641 用の緊急パッチが用意されている。

 関連:

2016.04.26 追記:

 関連:

2016.04.29 追記:

 エイベックスもヤラれたようです。

2016.05.06 追記:

 関連:


2016.04.22


2016.04.21


2016.04.20

Oracle Critical Patch Update Advisory - April 2016
(Oracle, 2016.04.19)

 Oracle 四半期定例セキュリティ更新出ました。Java は 8u91 / 8u92 が出ています。


2016.04.19

追記

Apple、「QuickTime for Windows」のサポートを終了、アンインストールを推奨 (2016.04.15)

 Windows 版 QuickTime をアンインストールすると、Adobe 方面で不具合が発生するそうです。


2016.04.18

追記

Badlock Bug (2016.04.13)

 関連:

Apple、「QuickTime for Windows」のサポートを終了、アンインストールを推奨 (2016.04.15)

 QuickTime for Windows の脆弱性に要注意 (トレンドマイクロ セキュリティ blog, 2016.04.18)


2016.04.15

追記

Badlock Bug (2016.04.13)

 関連:

APSB16-11 - Security update available for the Creative Cloud Desktop Application
(Adobe, 2016.04.12)

 Windows / Mac 版 Creative Cloud デスクトップアプリケーション 3.5.1.209 以前に欠陥。 Creative Cloud ライブラリ JavaScript API の同期処理に欠陥があり、remote からデスクトップ上のファイルを読み書きできる。CVE-2016-1034

 Creative Cloud 3.6.0.244 で修正されている。

 日本語版: APSB16-11 - Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開

APSB16-12 - Security hotfix available for RoboHelp Server
(Adobe, 2016.04.12)

 RoboHelp Server 9.0.1 における SQL クエリの処理に欠陥があり、情報漏洩を招く。 CVE-2016-1035hotfix が公開されている。

 日本語: APSB16-12 - RoboHelp Server 用セキュリティ修正プログラム公開

Apple、「QuickTime for Windows」のサポートを終了、アンインストールを推奨
(Internet Watch, 2016.04.15)

 Windows 版 QuickTime に 0-day 欠陥、しかしサポートは終了した模様。 今の時代にはもはや不要なアプリなので、アンインストールが吉。

 疑問の声があるようだが、

を考えれば、これで終了ということでしょう。

2016.04.18 追記:

 QuickTime for Windows の脆弱性に要注意 (トレンドマイクロ セキュリティ blog, 2016.04.18)

2016.04.19 追記:

 Windows 版 QuickTime をアンインストールすると、Adobe 方面で不具合が発生するそうです。

2016.05.02 追記:

 Apple、QuickTime for Windowsのサポート終了を正式に告知していたことが判明 (Internet Watch, 2016.04.28)、 QuickTime 7 や QuickTime 7 Pro についてわからないことがある場合 (Apple)

追加情報
Apple では、QuickTime 7 for Windows のサポートを終了いたしました。2009 年以降の新しいバージョンの Windows には、H.264 および AAC など、QuickTime 7 に対応した主要メディアフォーマットのサポートが組み込まれています。現行の Windows Web ブラウザはすべて、ブラウザプラグインがなくてもビデオ再生に対応しています。Windows パソコンで QuickTime 7 が不要になった場合は、こちらの記事の手順にそって、QuickTime 7 for Windows をアンインストールしてください。

2016.04.14

Chrome Stable Channel Update
(Google, 2016.04.13)

 Chrome 50.0.2661.75 公開。20 件のセキュリティ修正を含む。

追記

APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)


2016.04.13

マイクロソフト セキュリティ アドバイザリ 3152550 - ワイヤレス マウス入力のフィルタリングを改善する更新プログラム
(Microsoft, 2016.04.13)

 Microsoft の複数のワイヤレス マウスに欠陥。 ワイヤレス マウスを使っていると、 USB ワイヤレス ドングルを介してキーボードの HID パケットを挿入される。 入力フィルタを改善し、QWERTY キーパケットを除外することで対応。

注 この更新プログラムは、Windows Server をサポートしていません。また、この更新プログラムは、スタンドアロンのワイヤレス マウス デバイスのみをサポートします。マイクロソフトのデスクトップ製品に属するワイヤレス マウス デバイスはサポートしていません。

2016 年 4 月のマイクロソフト セキュリティ情報の概要
(Microsoft, 2016.04.13)

 緊急 x 6 (IE / Edge、.NET Framework、Office、Skype、Lync、Flash Player、Windows)、 重要 x 7 (.NET Framework、Hyper-V、Windows)。 (追記する予定は未定)

Badlock Bug
(Badlock.org, 2016.04.12)

 Windows および Samba 3.6.0〜4.4.0 に欠陥。

 CVE 等:

CVE 概要 対象ソフト、バージョン 注記
CVE-2016-0128 Windows SAM および LSAD ダウングレードの脆弱性 Windows Vista / Server 2008 以降
CVE-2016-2118 (BADLOCK) SAMR and LSA man in the middle attacks possible Samba 3.6.0 〜 4.4.0
CVE-2015-5370 Multiple errors in DCE-RPC code Samba 3.6.0 〜 4.4.0
CVE-2016-2110 Man in the middle attacks possible with NTLMSSP Samba 3.0.0 〜 4.4.0
CVE-2016-2111 NETLOGON Spoofing Vulnerability Samba 3.0.0 〜 4.4.0 Windows の CVE-2015-0005 と同様
CVE-2016-2112 The LDAP client and server don't enforce integrity protection Samba 3.0.0 〜 4.4.0
CVE-2016-2113 Missing TLS certificate validation allows man in the middle attacks Samba 4.0.0 〜 4.4.0
CVE-2016-2114 "server signing = mandatory" not enforced Samba 4.0.0 〜 4.4.0
CVE-2016-2115 SMB client connections for IPC traffic are not integrity protected Samba 3.0.0 〜 4.4.0

 Windows は MS16-047 (3148527) で、 Samba は 4.4.2, 4.3.8, 4.2.11 で修正されている。 Samba 4.4.1, 4.3.7, 4.2.10 は私家版として複数のベンダーに提供されたが、 不具合が含まれており、4.4.2, 4.3.8, 4.2.11 で修正されているそうだ。

 また、https://www.samba.org/samba/history/security.html で、Samba 4.4.0, 4.3.6, 4.2.9, 4.0.26, 3.6.25 用の patch が配布されている。 4.0.26 用 patch はファイルサーバーのみの修正で、AD やクライアント部分の修正が含まれていないとされている。3.6.25 用 patch については、関連する CVE についてのみとされている。

2016.04.15 追記:

 関連:

2016.04.18 追記:

 関連:


2016.04.12

いろいろ (2016.04.12)
(various)

HID ドアコントローラー

McAfee Email Gateway 7.6

EC-CUBE 用プラグイン「ソーシャルボタン設置プラグイン -プレミアム-」

ProFTPD

squid


2016.04.11

追記

APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)


2016.04.08

追記

APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)

 修正版出ました: APSB16-10 - Security updates available for Adobe Flash Player (Adobe, 2016.04.07)


2016.04.07

追記

APSA16-01 - Security Advisory for Adobe Flash Player (2016.04.06)

 関連:


2016.04.06

米CNBCがセキュリティ記事を悪用してパスワードを収集・共有していたことが明らかに
(スラド, 2016.04.04)

 まさにトロイの木馬……

問題の記事では、パスワードの強度がどれくらい高いかを調べることができる対話型フォームが用意されていた。このフォームには「娯楽と教育目的のみ使用され、パスワードは保存しない」と記載されている。しかし、実際にはパスワードやトラフィック分析は、Googleドキュメントのスプレッドシートに入力されていたという。またサーバーとの接続は通常のHTTP接続で、データは暗号化されていなかったそうだ。

さらにセキュリティ研究者であるAshkan Soltani氏によれば、CNBCの広告ネットワークや他の関係者に入力されたパスワードが送信されていたという。

APSA16-01 - Security Advisory for Adobe Flash Player
(Adobe, 2016.04.05)

 Flash Player 21.0.0.197 以前に 0-day 欠陥、remote から任意のコードを実行できる。CVE-2016-1019

 Windows 7・XP 向けの、Flash Player 20.0.0.306 以前で有効な攻略プログラムが出回っている。この欠陥に対しては Flash Player 21.0.0.182 で実装された軽減策が有効に機能しており、Flash Player 21.0.0.182 以降の利用者は防御されているそうで。

2016.04.07 追記:

 関連:

2016.04.08 追記:

 修正版出ました: APSB16-10 - Security updates available for Adobe Flash Player (Adobe, 2016.04.07)

2016.04.11 追記:

 関連:

2016.04.14 追記:

 関連:


2016.04.05

Nexus Security Bulletin—April 2016
(Android, 2016.04.04)

 Android 月例セキュリティ修正 2016.04。39 件のセキュリティ欠陥を修正。

 関連: Google、Androidの月例セキュリティ情報を公開 深刻な脆弱性が多数存在 (ITmedia, 2016.04.05)


2016.04.04

PHP 5.5系、5.6系、7.0系セキュリティ修正版公開
(マイナビニュース, 2016.04.03)

 PHP 5.5.34、5.6.20、7.0.5 公開。 Sec Bug に分類されているのは この 5 つ

Atermシリーズ 一部機種(9機種)バージョンアップのお知らせ
(NEC, 2016.03.30)

 Aterm W300P、 W500P WR8165N WF300HP2、 WF800HP、 WF1200HP、 WF1200HP2、 WG1400HP、 WG1800HP2 の更新ファームウェア公開。「2. セキュリティ向上のための対応を行いました」というのは、 クロスサイトリクエストフォージェリ脆弱性への対応の模様。

 その他にも、影響を受ける機種がある模様。

追記

CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow (2016.02.17)

 2016.04.04: 以下を追加。


2016.04.02


2016.04.01

PostgreSQL: 2016-03-31 Security Update Release
(PostgreSQL, 2016.03.31)

 PostgreSQL 9.5.2, 9.4.7, 9.3.12, 9.2.16, 9.1.21 公開。2 件のセキュリティ欠陥 CVE-2016-2193 CVE-2016-3065 を修正。

This release closes security hole CVE-2016-2193, where a query plan might get reused for more than one ROLE in the same session. This could cause the wrong set of Row Level Security (RLS) policies to be used for the query.

The update also fixes CVE-2016-3065, a server crash bug triggered by using pageinspect with BRIN index pages. Since an attacker might be able to expose a few bytes of server memory, this crash is being treated as a security issue.

 あわせて、不具合多発により PostgreSQL 9.5 の abbreviated keys 機能を一部無効化。

In this release, the PostgreSQL Project has been forced to disable 9.5's Abbreviated Keys performance feature for many indexes due to reports of index corruption. This may affect any B-tree indexes on TEXT, VARCHAR, and CHAR columns which are not in "C" locale. Indexes in other locales will lose the performance benefits of the feature, and should be REINDEXed in case of existing index corruption. The feature may be re-enabled in future versions if the project finds a solution for the problem. See the release notes, and the wiki page on this issue for more information.

[セキュリティホール memo]
[私について]