セキュリティホール memo - 2016.12

Last modified: Mon May 8 13:26:47 2017 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2016.12.28

PHPMailerの脆弱性CVE-2016-10033について解析した
(徳丸浩の日記, 2016.12.28)

 WordPress など有名どころの CMS にも同梱されている PHPMailer の、 5.2.19 (最新) 以前に欠陥。入力値検証に欠陥があり、OS コマンドインジェクションが可能。PHPMailer 5.2.18 で直ったとされていたが、実際には直っていなかった。

 最新版 5.2.19 でも修正されていない。徳丸氏が推奨する回避策はこちら:

 関連:

2017.01.12 追記:

 WordPress 4.7.1 Security and Maintenance Release (Wordpress, 2017.01.11)。影響は受けないが、対応されている。

2017.05.08 追記:

 MTA が Exim4 の場合、PHPMailer 単体、および WordPress 4.6 で影響があったそうです。

追記

いろいろ (2016.12.13): NETGEAR

 修正ファームウェア公開されました。


2016.12.27


2016.12.26


2016.12.22


2016.12.21

PTW-WMS1をルーター機能の無いモデムに接続してご使⽤されているお客様へ重要なおしらせ
(プリンストン, 2016.12.21)

 プリンストンのワイヤレスモバイルストレージ 「デジ蔵 ShAirDisk」 (プリンストン) に欠陥。詳細は不明だが、 朝日新聞記事「無線LAN機器、出荷停止 サイバー攻撃に悪用の恐れ」によると、 IO DATA の「ポケドラ」WFS-SR01 と同じく、横浜国立大学大学院の吉岡克成准教授らの調査で判明したとのこと。

 修正版ファームウェアは現在開発中。


2016.12.20


2016.12.19

いろいろ (2016.12.19)
(various)

Samba 4.5.3 / 4.4.8 / 4.3.13

apt

PHP 7.0.14 / 5.6.29

Joomla! 3.6.5

追記

Firefox 50.0 / ESR 45.5.0 公開 (2016.11.16)

 Firefox 50.1.0 / ESR 45.6.0、Android 版 Firefox 50.1.0 が公開されました。 複数のセキュリティ修正を含みます。iida さん情報ありがとうございます。


2016.12.16

追記

Apple 方面 (macOS Sierra、Safari、iTunes for Windows、iCloud for Windows、Transporter) (2016.12.14)

 Apple から Security Update 2016-003 (10.11.6)Security Update 2016-007 (10.10.5) について正式にアナウンスされたので、誤記修正とあわせて記述を修正した。 池田さん情報ありがとうございます。


2016.12.15

追記

Linux kernel の脆弱性 Dirty COW (CVE-2016-5195) (2016.10.25)

 Android 2016 年 12 月の更新で直りました。

McAfee VirusScan Enterprise 方面
(JVN, 2016.12.14)

 VirusScan Enterprise ねた 2 件。

「Wireshark」v2.2.3、任意のファイル・フォルダーが削除されてしまう脆弱性を修正
(窓の杜, 2016.12.15)

 Wireshark 2.2.3 / 2.0.9 公開。 Bug 13217 - Arbitrary file deletion on Windows (wireshark) を修正。We received the following from Masanobu Katagi at the JPCERT/CC Vulnerability Handling Team で JVN#90813656 だそうです。

Adobe 関係 (Animate、Experience Manager Forms、DNG Converter、Experience Manager、InDesign、ColdFusion Builder、Digital Editions、RoboHelp)
(Adobe, 2016.12.13)

 いろいろ出ました。

番号 タイトル Priority rating
APSB16-38 Security update available for Adobe Animate 3
APSB16-40 Security updates available for Adobe Experience Manager Forms 3
APSB16-41 Security update available for the Adobe DNG Converter 3
APSB16-42 Security updates available for Adobe Experience Manager 2
APSB16-43 Security updates available for InDesign 3
APSB16-44 Security update available for ColdFusion Builder 2
APSB16-45 Security update available for Adobe Digital Editions 3
APSB16-46 Security update available for RoboHelp 3

APSB16-39 - Security updates available for Adobe Flash Player
(Adobe, 2016.12.13)

 Flash Player 24.0.0.186 公開、17 件のセキュリティ欠陥 CVE-2016-7867 CVE-2016-7868 CVE-2016-7869 CVE-2016-7870 CVE-2016-7871 CVE-2016-7872 CVE-2016-7873 CVE-2016-7874 CVE-2016-7875 CVE-2016-7876 CVE-2016-7877 CVE-2016-7878 CVE-2016-7879 CVE-2016-7880 CVE-2016-7881 CVE-2016-7890 CVE-2016-7892 を修正。CVE-2016-7890 はセキュリティの回避が可能、 その他は任意のコードの実行を招くもの。 CVE-2016-7892 は 0-day、32bit IE 向け exploit が存在。Priority rating は Linux 版が 3、他は 1。

 Linux 版含めて 24.0.0.186 が最新になった。


2016.12.14

2016 年 12 月のマイクロソフト セキュリティ情報の概要
(Microsoft, 2016.12.14)

 出ました。0-day はないようです。

Apple 方面 (macOS Sierra、Safari、iTunes for Windows、iCloud for Windows、Transporter)
(Apple, 2016.12.13)

 macOS Sierra 10.12.2、Security Update 2016-003 (10.11.6)、Security Update 2016-007 (10.10.5)、Safari 10.0.2、iTunes 12.5.4 for Windows、iCloud for Windows 6.1、Transporter 1.9.2 が公開されました。セキュリティ修正を含みます。

2016.12.16 追記:

 Apple から Security Update 2016-003 (10.11.6)Security Update 2016-007 (10.10.5) について正式にアナウンスされたので、誤記修正とあわせて記述を修正した。 池田さん情報ありがとうございます。

追記

Apple 方面 (iOS, tvOS, watchOS) (2016.12.13)

 macOS Sierra や Safari 等の更新公開にあわせて、追加の情報が出ました。

 ただし、不具合が確認されたため、watchOS 3.1.1 は取り下げられたそうです。


2016.12.13

Apple 方面 (iOS, tvOS, watchOS)
(Apple, 2016.12.12)

 出ました。

 関連:

2016.12.14 追記:

 macOS Sierra や Safari 等の更新公開にあわせて、追加の情報が出ました。

 ただし、不具合が確認されたため、watchOS 3.1.1 は取り下げられたそうです。

いろいろ (2016.12.13)
(various)

NETGEAR

2016.12.28 追記:

 修正ファームウェア公開されました。

SONY ネットワークカメラ

Apache Tomcat 8.5.9、9.0.0.M15 公開
(Apache, 2016.12.08)

 Apache Tomcat 8.5.x / 9.0.0Mx に、セッション ID やリクエストボディを含むさまざまな情報が漏洩する欠陥 CVE-2016-8745 が確認された。Apache Tomcat 8.5.9、9.0.0.M15 で修正されている。 iida さん情報ありがとうございます。

2017.01.07 追記:

 Apache Tomcat 6.x, 7.x, 8.0.x にも欠陥があることが明らかとなりました。

 Apache Tomcat 6.0.49 / 7.0.74 / 8.0.40 で修正される予定だそうです (未リリース)。


2016.12.12


2016.12.09


2016.12.07


2016.12.06


2016.12.05


2016.12.02

Chrome Stable Channel Update for Desktop
(Google, 2016.12.01)

 Chrome 55.0.2883.75 が stable に。36 件のセキュリティ欠陥を修正。 iida さん情報ありがとうございます。


2016.12.01

追記

Firefox 50.0 / ESR 45.5.0 公開 (2016.11.16)

 Firefox 50.0.2 / ESR 45.5.1、Thunderbird 45.5.1、Tor Browser 6.0.7 が公開されました。セキュリティ更新が含まれています。 iida さん情報ありがとうございます。


[セキュリティホール memo]
[私について]