セキュリティホール memo - 2016.06

Last modified: Mon Oct 3 11:53:15 2016 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2016.06.30


2016.06.29

SYM16-011 - Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager Multiple Security Issues
(Symantec, 2016.06.28)

 Symantec Endpoint Protection Manager 12.1.x に 12 件の欠陥、12.1.6 MP5 で修正されている。

 関連: Symantec Endpoint Protection 12.1.6 MP5 Release Notes (Symantec)

SYM16-010 - Security Advisories Relating to Symantec Products - Symantec Decomposer Engine Multiple Parsing Vulnerabilities
(Symantec, 2016.06.28)

 Symantec Endpoint Protection や Norton シリーズをはじめとする、Symantec のさまざまな製品で使われている Symantec Decomposer Engine (圧縮解凍エンジン) にメモリ破壊や buffer overflow、integer overflow といった 7 件の欠陥。攻略ファイルによって任意のコードを実行できる。

CVE

説明

CVE-2016-2207

RAR decompression memory access violation

CVE-2016-2209

Dec2SS buffer overflow

CVE-2016-2210

Dec2LHA buffer overflow

CVE-2016-2211

CAB decompression memory corruption

CVE-2016-3644

MIME message modification memory corruption

CVE-2016-3645

TNEF integer overflow

CVE-2016-3646

ZIP decompression memory access violation

 修正版や hotfix が用意されているので更新・適用すればよい。

2016.07.01 追記:

 SYM16-010、2016.06.29 付で更新されている。

2016.07.08 追記:

 関連:

追記

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)

 今ごろになって抜本対応するようです。

 なるべきものの大半はWindows 10になっただろうからもういいや、ってことでもあるんですかね。


2016.06.28

追記

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)


2016.06.27

いろいろ (2016.06.27)
(various)

phpMyAdmin

DMM.comラボ 動画再生アプリ

QNAP QTS

NTT ひかり電話ルータ PR-400MI、RT-400MI、RV-440MI


2016.06.24

追記

JTB 標的型攻撃事件まとめ (2016.06.17)


2016.06.23

Vulnerability Note VU#143335 - mDNSResponder contains multiple memory-based vulnerabilities
(US-CERT, 2016.06.20)

 379.27 以上、625.41.2 未満の mDNSResponder に複数の欠陥、remote から任意のコードを実行できる。

 関連:

追記

JTB 標的型攻撃事件まとめ (2016.06.17)

WordPress 4.5.3 メンテナンス・セキュリティリリース
(WordPress, 2016.06.22)

 複数のセキュリティ修正 + 不具合修正。日本語版も公開されました。


2016.06.22

追記

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)

 関連:


2016.06.21

APSB16-18 - Security updates available for Adobe Flash Player
(Adobe, 2016.06.16)

 Flash Player 22.0.0.192 等公開。 0-day 欠陥の件を含め、 36 件のセキュリティ欠陥を修正。

プラットホーム バージョン Priority rating
Desktop Runtime (Windows, Mac) 22.0.0.192 1
Extended Support Release (Windows, Mac) 18.0.0.360 1
Google Chrome 22.0.0.192 1
Windows Server 2012 の Internet Explorer 10 22.0.0.192 1
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 22.0.0.192 1
Windows 10 の Internet Explorer 11 / Edge 22.0.0.192 1
Linux 11.2.202.626 3

いろいろ (2016.06.21)
(various)

bzip2

libtiff <= 4.0.6

Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起
(JPCERT/CC, 2016.06.20)

 Apache Struts 2.3.20 〜 2.3.28.1 に欠陥、REST プラグインを使用している場合に remote から任意のコードを実行できる。CVE-2016-4438

 Apache Struts 2.3.29 で修正されている。


2016.06.20

いろいろ (2016.06.20)
(various)

トレンドマイクロ Deep Discovery Inspector

NETGEAR D6000、D3600

 日本では売られたことがない?

I・O データ EXT-R

Cisco 無線 LAN ルーター RV110W, RV130W, RV215W

追記

いろいろ (2016.06.02)


2016.06.17

いろいろ (2016.06.17)
(various)

VMware

Adobe

Drupal

APSB16-23 - Security update available for Adobe AIR
(Adobe, 2016.06.16)

 Windows 版 AIR 22.0.0.153 公開。 Windows 版 AIR 21.0.0.215 以前には、 インストーラーにおけるディレクトリ検索パスの扱いに欠陥があり、攻撃者にシステムの制御を奪われる可能性があった。 CVE-2016-4126

追記

2016 年 6 月のセキュリティ情報 (月例) – MS16-063, MS16-068 〜 MS16-082 (2016.06.15)

 関連:

 あと、定例外で MS16-083 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3167685) が出ました。

APSA16-03 - Security Advisory for Adobe Flash Player (2016.06.15)

 Flash Player 更新出ました: APSB16-18 - Security updates available for Adobe Flash Player (Adobe, 2016.06.16)。22 系列になっている。

JTB 標的型攻撃事件まとめ
(various)

 いちばんよく書けているのはこの記事:

 JTB オフィシャル:

 提携先オフィシャル:

 役所:

 関連報道など:

2016.06.20 追記:

 追加:

2016.06.21 追記:

 追加:

2016.06.23 追記:

 追加:

2016.06.24 追記:

 追加:

Chrome Stable Channel Update
(Google, 2016.06.16)

 Chrome 51.0.2704.103 公開。3 件のセキュリティ欠陥が修正されている。


2016.06.16


2016.06.15

2016 年 6 月のセキュリティ情報 (月例) – MS16-063, MS16-068 〜 MS16-082
(日本のセキュリティチーム, 2016.06.15)

 Microsoft 定例出ました (まだ全然読めてない)。 ……って、重要な告知が:

手動でセキュリティ更新プログラムをダウンロードされるお客様向けに、マイクロソフトはこれまで、セキュリティ更新プログラムを、マイクロソフト ダウンロード センター、および Microsoft Update カタログの 2 か所に公開し、セキュリティ情報ではダウンロード センターに公開しているセキュリティ更新プログラム パッケージへのリンクを掲載してきました。今後、セキュリティ更新プログラムはダウンロード センターへの公開を停止し、Microsoft Update カタログのみに継続公開する予定です。

2016.06.17 追記:

 関連:

 あと、定例外で MS16-083 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3167685) が出ました。

2016.08.19 追記:

 一覧:

 MS16-063 + MS16-077 の NetBIOS + WPAD の件の詳細:

2016.10.03 追記:

 上記で引用した、Active Directoryの管理者の方へ、6 月の更新 MS16-072 (KB3159398) は要注意 (山市良のえぬなんとかわーるど, 2016.06.17) の内容、2016.06.17 には訂正されていました。山内さん情報頂いていたのに対応できてなくてすいません。 訂正部分含めて引用し直しました。

 関連:

APSA16-03 - Security Advisory for Adobe Flash Player
(Adobe, 2016.06.14)

 Flash Player 21.0.0.242 (最新) 以前に 0-day 欠陥 CVE-2016-4171 だそうです。 修正版は、早ければ 6/16 (US 時間) にも公開予定だそうです。

 関連:

2016.06.17 追記:

 Flash Player 更新出ました: APSB16-18 - Security updates available for Adobe Flash Player (Adobe, 2016.06.16)。22 系列になっている。

追記

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)


2016.06.14


2016.06.13


2016.06.08

いろいろ (2016.06.08)
(various)

Wireshark

GnuTLS

Symantec Embedded Security / Critical System Protection / Data Center Security:

Apache Struts 1

TERASOLUNA Server Framework for Java(WEB)

Firefox 47.0 / ESR 45.2.0 公開
(Mozilla, 2016.06.07)

 Firefox 47.0 / ESR 45.2.0 出ました。ESR 38 系列の更新は終了しています。

KB87253 - DAT 8183 を配布後、DAT が更新できない
(マカフィー, 2016.06.05)

 VSE 8.8.x + 64bit 版 Windows 7 / Server 2008 R2 の環境で、VSE Mcshield サービスが突然停止したり、DAT 8184 以降への更新ができない場合がある模様。その場合はこうするとよいそうで:

  1. C:\ProgramData\McAfee\Common Framework\UpdateDir または C:\ProgramData\McAfee\Agent\UpdateDir (McAfee Agent のバージョンおよび更新状況に依存、KB87253 参照) を除外設定に追加。「サブフォルダも除外」もチェックすること。

  2. http://update.nai.com/products/commonupdater/ から DAT 8184 をダウンロードして更新

  3. 除外設定を削除

 Yoshioka さん情報ありがとうございます。関連:


2016.06.07

いろいろ (2016.06.07)
(various)

libtiff

Apache Struts2

Apache Shiro

dosfstools

Docker


2016.06.06


2016.06.03

いろいろ (2016.06.03)
(various)

GCM nonce reuse attack

NTP.org ntpd

「悪魔のように賢い」とGoogleのエンジニアが舌を巻く「悪意あるハードウェア」が登場
(gigazine, 2016.06.03)

 Malicious Hardware の時代が到来した模様。チップレベルで malicious。

そもそもは、より小さなトランジスタを使うためにチップ設計のコストが上昇したことで、メーカーがチップ設計を海外・第三者の設計メーカーに発注することが多くなったのが、「悪意あるハードウェア」誕生の1つの原因となっています。発注を受けた設計メーカーでは、問題ない設計ができたかどうか製造前チェックを行いますが、この段階に悪意ある攻撃者が入り込み、ありそうもない順序の攻撃用トリガーを仕掛けると、試験装置ではそれが「悪意あるハードウェアである」と検出することができません。

 確か攻殻機動隊 2 に、バックドア入りチップの話が出てきていたような気が……。 ここでも時代が攻殻に追いついたようだ。


2016.06.02

いろいろ (2016.06.02)
(various)

phpMyAdmin

Cisco Prime Network Analysis Module

Environmental Systems Corporation 8832 Data Controller

 主に US で使われている製品だそうです。

2016.06.20 追記:

サイボウズ ガルーン 4.2

Chrome Stable Channel Update
(Google, 2016.06.01)

 Chrome 51.0.2704.79 公開。15 件のセキュリティ欠陥が修正されている。 iida さん情報ありがとうございます。


2016.06.01


[セキュリティホール memo]
[私について]