セキュリティホール memo - 2017.06

Last modified: Mon Mar 5 17:21:37 2018 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2017.06.30

追記

チェルノブイリ原発も 欧州・米国で大規模サイバー攻撃 (2017.06.28)

Knot DNS および BIND の TSIG 認証実装に欠陥、TSIG 認証を回避できる
(various)

Knot DNS

BIND

 TSIG 認証が有効な場合に発現。BIND 9.11.1-P2 / 9.10.5-P2 / 9.9.10-P2 で修正されている。

 ISC の Security Advisory には Synacktiv への謝辞が記されている。 こちらについても Synacktiv から詳細が公開されるかも。

2017.07.13 追記:

 BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について (CVE-2017-3142) - バージョンアップを強く推奨 - (JPRS) が 7/13 付で更新された。

(2017年7月13日追加)なお、namedの設定ファイル(named.conf)において "update-policy local;"オプションを使用している場合、既知の名前(local-ddns)とデフォルトのアルゴリズムを用いたTSIG鍵が暗黙の設定として定義され、かつ、IPアドレスベースのアクセス制限が設定されていない状態となります。そのため、潜在的に非常に危険な設定となることに注意が必要です。
(2017年7月13日更新)なお、設定ファイル(named.conf)において "update-policy local;"オプションを使用している場合、できるだけ速やかにバージョンアップを行う必要があります。それが不可能な場合以下の例のように、設定ファイルのupdate-policyステートメントをTSIG鍵を要求する allow-updateステートメントに切り替えた上で、IPアドレスベースのACLを追加する必要があります。

allow-update { !{ !localhost; }; key local-ddns; };

2017.06.29

追記

世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.15)


2017.06.28

チェルノブイリ原発も 欧州・米国で大規模サイバー攻撃
(朝日, 2017.06.28)

 ランサムウェア Petya の亜種が活発に活動しているようで。

 各種報道等:

2017.06.30 追記:

 関連:

2017.07.28 追記:

 関連:

2018.02.16 追記:

 US / UK 政府、NotPetya は「ほぼ確実に」ロシア軍によるものと発表。

2018.03.05 追記:

 ラピッド サイバー攻撃の一種、Petya の概要 (日本のセキュリティチーム, 2018.02.23)


2017.06.27

追記

OpenVPN 2.4.3 リリース (2017.06.26)

 OpenVPN fuzzers released (oss-sec ML, 2017.06.26)

2017 年 6 月のセキュリティ更新プログラム (月例) (2017.06.14)

 不具合情報と回避用 hotfix:

CVE-2017-8558 | Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性
(Microsoft, 2017.06.23)

 Microsoft Malware Protection Engine 1.1.13903.0 を自動更新で公開。1.1.13804.0 以前にあった欠陥、MsMpEng: mpengine x86 Emulator Heap Corruption in VFS API (Google Project Zero, 2017.06.07) が修正された模様。 CVE-2017-8558


2017.06.26

SYM17-004 - Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Multiple Vulnerabilities
(Symantec, 2017.06.21)

 Symantec Messaging Gateway に、リモートコード実行を含む 3 件のセキュリティ欠陥。 Symantec Messaging Gateway 10.6.3 + patch 10.6.3-266 で対応。

OpenVPN 2.4.3 リリース
(OpenVPN.jp, 2017.06.23)

 OpenVPN 2.4.3 / 2.3.17 公開。以下のセキュリティ欠陥を修正 (VulnerabilitiesFixedInOpenVPN243)。

2017.06.27 追記:

 OpenVPN fuzzers released (oss-sec ML, 2017.06.26)


2017.06.23


2017.06.21

Apache HTTP Server 2.4.26 Released
(Apache.org, 2017.06.19)

 Apache HTTP サーバー 2.4.26 公開。「重要」レベルの 5 件の欠陥が修正されている。iida さん情報ありがとうございます。

 Apache 2.2 系については 2.2.33 で修正される予定。 開発用コードでは既に修正されており、Apache httpd 2.2 vulnerabilities で patch が公開されている。

2017.07.12 追記:

 Apache 2.2.34 が公開されました (2.2.33 は結局非公開)。CVE-2017-7679 CVE-2017-7668 CVE-2017-3169 CVE-2017-3167 が修正されています。

 Apache 2.2 系列は 2.2.34 で終了だそうです。 2017.12 まではセキュリティ patch を提供、 その場合は http://www.apache.org/dist/httpd/patches/apply_to_2.2.34/ で公開だそうで (今は空です)。iida さん情報ありがとうございます。

追記

世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.15)

 事例: ホンダ。

 あと、XP / IE 8 で hotfix をダウンロードできない件の解説:


2017.06.20


2017.06.19

Adobe 方面
(Adobe, 2017.06.13)

APSB17-17 - Security updates available for Flash Player (Adobe, 2017.06.13)

APSB17-18 - Security update available for Shockwave Player (Adobe, 2017.06.13)

 Shockwave Player 12.2.9.199 公開。 CVE-2017-3086 を修正。Priority rating: 2

APSB17-19 - Security updates available for Adobe Captivate (Adobe, 2017.06.13)

 Adobe Captivate 9 以前に欠陥 CVE-2017-3087 CVE-2017-3098、8 / 9 用の Hotfix で修正。また Captivate 2017 (10.0.0.192) へのアップグレードでも対応可。Priority rating: 3

APSB17-20 - Security updates available for Adobe Digital Editions (Adobe, 2017.06.13)

 Adobe Digital Editions 4.5.4 以前に欠陥、4.5.5 で修正。 CVE-2017-3088 CVE-2017-3089 CVE-2017-3090 CVE-2017-3092 CVE-2017-3093 CVE-2017-3094 CVE-2017-3095 CVE-2017-3096 CVE-2017-3097。 Priority rating: 3


2017.06.16

いろいろ (2017.06.16)
(various)

ウイルスバスタークラウド 11

McAfee Network Data Loss Prevention

Dropbear SSH

cURL

Android

Chrome Stable Channel Update for Desktop
(Google, 2017.06.15)

 Chrome 59.0.3071.104 公開。5 件のセキュリティ欠陥を修正。

追記

Firefox 54.0 / ESR 52.2.0 公開 (2017.06.14)

 Thunderbird 52.2.0 出ました。リリースノート

世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.13)

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)

 GMO ペイメントゲートウェイ方面。

 被害事例: 国土交通省 土地総合情報システム。

CIA Vault 7 方面 (2017.03.10)

 WikiLeaks、Windows 用マルウェア AfterMidnight と Assassin の情報を公開。

  • AfterMidnight (WikiLeaks, 2017.05.12)

    The main controller disguises as a self-persisting Windows Service DLL and provides secure execution of "Gremlins" via a HTTPS based Listening Post (LP) system called "Octopus".

 WikiLeaks、Windows 用マルウェア Athena の情報を公開。

 WikiLeaks、Windows 用マルウェア Pandemic の情報を公開。

 WikiLeaks、WiFi ルーターやアクセスポイントのファームウェアを書き換えて中間介入攻撃を実施する Cherry Blossom の情報を公開。

BIND 方面
(JPRS, 2017.06.15)

 2 件あります。

(緊急)BIND 9.xの脆弱性(権限の昇格)について(CVE-2017-3141) - Windows版BINDのみ該当、バージョンアップを強く推奨 - (JPRS, 2017.06.15)

 Windows 版 BIND のインストーラーに欠陥。パス名の扱いに欠陥があり、 local user による権限上昇が可能。CVE-2017-3141

 BIND 9.11.1-P1 / 9.10.5-P1 / 9.9.10-P1 で修正されている。

BIND 9.xの脆弱性(サービス性能の劣化及びパケットの連続送信)について(CVE-2017-3140) - バージョンアップを強く推奨 - (JPRS, 2017.06.15)

 BIND 9.9.10 / 9.10.5 / 9.11.[01] に欠陥。 RPZ (Response Policy Zones、デフォルトで無効) の処理に欠陥があり、特定の条件が揃うと無限ループに陥る。CVE-2017-3140

 特定の条件は以下のとおり:

1. RPZが有効に設定されている
2. RPZにおいて、NSDNAMEまたはNSIPのポリシールールが使われている
3. 受信したDNSクエリにより、上記のポリシールールが処理される

 BIND 9.11.1-P1 / 9.10.5-P1 / 9.9.10-P1 で修正されている。


2017.06.14

2017 年 6 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2017.06.14)

 出ました。まだちゃんと読めてない。

国家レベルでの攻撃および情報開示による悪用の危険性が高まっているため、古いプラットフォーム用のセキュリティ更新プログラムを公開しています。Windows Update を介して自動更新を有効にしているお客様は特別な措置を講じる必要はありません。手動で更新プログラムを管理しているお客様は、詳細および適用方法についてセキュリティ アドバイザリ 4025685 を参照してください。

 セキュリティ アドバイザリ 4025685 を見ると、サポート対象 OS は 4025686 を、サポート非対象 OS は 4025687 を参照と。Windows XP / Server 2003 / Vista / 8 用の更新プログラムがいくつか新たに公開されてます。

2017.06.16 追記:

2017.06.27 追記:

 不具合情報と回避用 hotfix:

Firefox 54.0 / ESR 52.2.0 公開
(Mozilla, 2017.06.13)

 出ました。

2017.06.16 追記:

 Thunderbird 52.2.0 出ました。リリースノート


2017.06.13


2017.06.12

いろいろ (2017.06.12)
(various)

GnuTLS

VMware vSphere Data Protection

Cisco

Apache Tomcat

脆弱性体験学習ツール AppGoat

  • 重要なお知らせ(更新日時:2017/6/6) (IPA)。AppGoat V3.0.2 に 4 件の欠陥、AppGoat V3.0.3 で修正。

    なお、最新バージョン(V3.0.3)の利用に際しては、利用許諾条件合意書の改訂を行ったため、再度利用許諾合意書を確認の上、IPAに利用申請メールを送信していただく必要があります。

DLL ねた


2017.06.09


2017.06.06

Chrome Stable Channel Update for Desktop
(Google, 2017.06.05)

 Chrome 59.0.3071.86 が stable に。30 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。


2017.06.05


2017.06.02


2017.06.01

追記

いろいろ (2017.05.31) - Microsoft Malware Protection Engine


[セキュリティホール memo]
[私について]