セキュリティホール memo - 2018.01

Last modified: Mon May 21 16:01:46 2018 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2018.01.31

追記

2018 年 1 月のセキュリティ更新プログラム (月例) (2018.01.10)

 AMD プロセッサへのセキュリティ更新プログラム提供は、遅くとも 2018.01.23 には再開されていたようです。

 Spectre Valiant 2 (CVE-2017-5715) への対応を無効化する更新プログラムが Microsoft Update カタログで公開されています。1 月の更新プログラム + BIOS 更新によって OS が不安定になっている場合は適用するとよいのかな。

VU#584653 - CPU hardware vulnerable to side-channel attacks (2018.01.12)

 DELL、GCC、Linux、Ubuntu 追加。AMD、Google 更新。

いろいろ (2018.01.31)
(various)

Cisco ASA

2018.02.13 追記:

 関連:

 当初の更新版では防げない、別の攻撃界面が発見され、さらなる修正版が公開されています。

ClamAV

  • ClamAV 0.99.3 has been released! (ClamAV, 2018.01.25)。remote から任意のコードを実行されるものを含む、7 件のセキュリティ修正を実施。

  • Update on the recent "File Descriptors" issue in ClamAV (ClamAV, 2018.01.26)。daily.cvd version 24256 + 負荷の大きな UNIX 環境で動作する clamd において file descriptors が枯渇する不具合が発生。ClamAV 側の不具合であり 0.100.0 で修正されるが 0.99.3 では修正されていない。daily.cvd version 24258 で対応。

Lenovo Fingerprint Manager Pro for Windows 7/8 / 8.1

Electron

2018.02.08 追記:

Blender


2018.01.30


2018.01.29


2018.01.25

いろいろ (2018.01.25)
(various)

freeSSHd

cURL

Lenovo

Cisco Email Security、Content Security Management Appliance

追記

2018 年 1 月のセキュリティ更新プログラム (月例) (2018.01.10)

 Endpoint Protection system tray icon reports multiple errors after applying Windows security updates from 1/3/2018 (Symantec, 2018.01.19)。Windows 8.1 / 10、Server 2012 / 2012 R2 / 2016 で発生。 ERASER エンジンの更新 (2018.01.04) とは無関係。 Windows 用 patch が公開されている。

Windows Server 2016 – KB4057142
Windows Server 2012 R2 – KB4057401
Windows Server 2012 – KB4057402
Windows 10 1709 (64-bit) – KB4073290
Windows 10 1709 (32-bit) – KB4073291
Windows 10 1703 – KB4057144
Windows 10 1607 – KB4057142
Windows 8.1 – KB4057401

Apple 方面 (macOS, iOS, tvOS, Safari, iTunes / iCloud for Windows) (2018.01.24)

 ESET のアンチウイルス製品をインストールしている環境に Security Update 2018-001 Sierra または Security Update 2018-001 El Capita を適用すると、OS の再起動が繰り返されるそうです。 この現象は High Sierra 10.13.3 では発生しないそうです。

 対応策として、セーフモードで起動し sudo rm -rf "/Library/Application Support/ESET/esets/modules/em040_32.dat" を実行して再起動する、が示されています。

Chrome Stable Channel Update for Desktop
(Google, 2018.01.24)

 Chrome 64.0.3282.119 が stable に。53 件のセキュリティ修正を含む。iida さん情報ありがとうございます。 Spectre / Meltdown に対する追加の軽減策が実装されているそうで。


2018.01.24

Firefox 58.0 / ESR 52.6.0 公開
(Mozilla, 2018.01.23)

 出ました。

 なお、次期 Firefox ESR は Firefox 60 ベースとなるようです。

Apple 方面 (macOS, iOS, tvOS, Safari, iTunes / iCloud for Windows)
(apple, 2018.01.23)

 出ました。

2018.01.25 追記:

 ESET のアンチウイルス製品をインストールしている環境に Security Update 2018-001 Sierra または Security Update 2018-001 El Capita を適用すると、OS の再起動が繰り返されるそうです。 この現象は High Sierra 10.13.3 では発生しないそうです。

 対応策として、セーフモードで起動し sudo rm -rf "/Library/Application Support/ESET/esets/modules/em040_32.dat" を実行して再起動する、が示されています。

いろいろ (2018.01.24)
(various)

PowerDNS Recursor

Knot Resolver

Unbound

Squid

 Squid 4.0.23 で修正済。Squid 3.5 用 patch あり。

GroupSession

phpMyAdmin

  • PMASA-2017-9 (phpMyAdmin, 2017.12.20)。phpMyAdmin 4.7.x に XSRF/CSRF 欠陥。4.7.7 で修正。

Wireshark

追記

2018 年 1 月のセキュリティ更新プログラム (月例) (2018.01.10)

 2018 年 1 月更新プログラムを適用後、ライブマイグレーションが失敗する (Ask CORE, 2018.01.18)

Hyper-V の役割をインストール行うと、CPU の機能はハイパーバイザーでサポートしている機能のみ有効となり動作いたします。
1 月の更新プログラムではこのハイパーバイザーでサポートする CPU 機能が追加されており、その結果適用 Hyper-V 環境と未適用の Hyper-V 環境で使用する CPU 機能に差が生じることがあります。

 差異が出るのがまずいわけで、全部に適用すれば無問題だそうです。また、「仮想マシンの設定で、プロセッサーの互換性を有効化することでも対処可能」だそうです。


2018.01.23


2018.01.22

いろいろ (2018.01.22)
(various)

Intel AMT

WordPress

Oracle, Java, WebLogic

BIND 9


2018.01.20

 社会復帰準備中。

追記

2018 年 1 月のセキュリティ更新プログラム (月例) (2018.01.10)

 「Office」からいきなり「数式エディター」が消えて阿鼻叫喚? どうしてこうなった (やじうまの杜, 2018.01.16)

「数式エディター」が削除されるのは2018年1月9日(米国時間)配布のセキュリティ更新プログラムを適用した環境で、「Office 2007」「Office 2010」「Office 2013」「Office 2016」が対象となります。「数式エディター」が削除されてしまった環境でも、「MathType」の試用版をインストールすれば古い数式の編集できるそうです。
最近の「Microsoft Office」には代わりとなる数式編集機能が搭載されています。 (中略) また、「Office 2016」の数式機能には「LaTeX」風の書式で数式を編集する機能も追加されています。

2018.01.15


2018.01.12

VU#584653 - CPU hardware vulnerable to side-channel attacks
(US-CERT, 2018.01.03)

 Spectre (CVE-2017-5753, CVE-2017-5715)、 Meltdown (CVE-2017-5754) の件。いまどきの CPU が備える高速化手法「投機的実行」を悪用すると、 読めないはずのメモリーを読めてしまう。 Spectre は各社の CPU が、Meltdown は Intel の CPU が (基本的には) 該当。 解説:

 対応すると性能が低下するとされている。どのくらい低下するのか:

 確認方法:

 対応。各社ともステータスが日々更新されている。

AMD

Android

Apple

ARM

  • Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism (ARM)。 Spectre については Cortex-R7, Cortex-R8, Cortex-A8, Cortex-A9, Cortex-A15, Cortex-A17, Cortex-A57, Cortex-A72, Cortex-A73, Cortex-A75 が、 Meltdown については Cortex-A75 が影響を受ける。 また Meltdown に類似した欠陥の影響を Cortex-A15, Cortex-A57, ortex-A72 が受ける。

Cisco

Citrix

DELL

FreeBSD

GCC

Google

HP

ICS-CERT

Intel

Kaspersky

Linux

  • Linuxカーネル4.15リリース、Meltdown/Spectreへの対処が組み込まれる (OSDN, 2018.01.30)

     4.15ではMeltdown/Spectre対応として、x86向けにPage Table Isolation、PowerPC向けにRFI flush of L1-D cacheが導入された。また、CPUに影響のある脆弱性を表示するためのディレクトリ/sys/devices/system/cpu/vulnerabilities/も加わった。
     Torvalds氏は一方で、Meltdown/Spectreへの対応は「完了」ではないとし、armやspectre-v1などのアーキテクチャで作業が残っているとしている。なお、間接的なブランチの対策にはカーネルのアップデートだけではなく、Retpoline(Googleがリリースした緩和策)をサポートするコンパイラが必要と忠告している。
  • LinuxコアメンバーによるMeltdownとSpectre 対応状況の説明 (1/19更新) (qiita, 2018.01.19)

Microsoft

NetBSD

NVIDIA

OpenBSD

QNAP

Raspberry Pi

Red Hat

Synology

Ubuntu

VAIO

VMware

2018.01.31 追記:

 DELL、GCC、Linux、Ubuntu 追加。AMD、Google 更新。

2018.02.05 追記:

 Spectre/Meltdown脆弱性を利用したマルウェアが発見 (PC Watch, 2018.02.02)

2018.03.09 追記:

 DELL, HP, Intel, Microsoft, FreeBSD, NetBSD, OpenBSD 更新。

2018.03.17 追記:

 Microsoft 更新。Spectre Variant 2 対策コード、 Windows 10 Version 1703 / 1607 および Server 2016 用が公開された。

2018.05.21 追記:

 関連:


2018.01.11

追記

Apple 方面 (iOS, macOS, Safari 更新) (2018.01.10)

2018 年 1 月のセキュリティ更新プログラム (月例) (2018.01.10)

 2018 年 1 月の更新プログラムを適用後、CoInitializeSecurity がエラーになる事象について (Ask CORE, 2018.01.10)。現時点では、更新プログラムのアンインストールでしか対処できない模様。

Windows 10 / Windows Server 2016 でも Windows Update の自動更新は止められます
https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/

 あと、32bit 版 OS 用 patch では CVE-2017-5754 に対応されていない件、 Server 2008 / 2012 用 patch はまだ用意されていない件、 「保護を有効にするために必要な構成の変更」の詳細を追記。


2018.01.10

2018 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.01.10)

 出ました。IE / Edge、Windows、Office、SQL Server、ChakraCore、.NET Framework、 .NET Core、ASP.NET Core、Flash Player。 IE / Edge、Windows、SQL Server については、1/4 に定例外で出たものから変化せずだそうで。

 Spectre (CVE-2017-5753, CVE-2017-5715)、 Meltdown (CVE-2017-5754) の対応が含まれるわけですが、いろいろ注意が必要。 ガイダンスを読まれたい。

 性能の件、詳細についてはこちらを: Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems (Microsoft Secure, 2017.01.09)

 一部の AMD チップセットで不具合が発生しているようです。

 なお、セキュリティ更新プログラム ガイド では Spectre / Meltdown の CVE 3 つあわせて ADV180002 として分類している。CVE 番号では検索できないので注意。

2018.01.11 追記:

 2018 年 1 月の更新プログラムを適用後、CoInitializeSecurity がエラーになる事象について (Ask CORE, 2018.01.10)。現時点では、更新プログラムのアンインストールでしか対処できない模様。

Windows 10 / Windows Server 2016 でも Windows Update の自動更新は止められます
https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/

 あと、32bit 版 OS 用 patch では CVE-2017-5754 に対応されていない件、 Server 2008 / 2012 用 patch はまだ用意されていない件、 「保護を有効にするために必要な構成の変更」の詳細を追記。

2018.01.20 追記:

 「Office」からいきなり「数式エディター」が消えて阿鼻叫喚? どうしてこうなった (やじうまの杜, 2018.01.16)

「数式エディター」が削除されるのは2018年1月9日(米国時間)配布のセキュリティ更新プログラムを適用した環境で、「Office 2007」「Office 2010」「Office 2013」「Office 2016」が対象となります。「数式エディター」が削除されてしまった環境でも、「MathType」の試用版をインストールすれば古い数式の編集できるそうです。
最近の「Microsoft Office」には代わりとなる数式編集機能が搭載されています。 (中略) また、「Office 2016」の数式機能には「LaTeX」風の書式で数式を編集する機能も追加されています。

2018.01.24 追記:

 2018 年 1 月更新プログラムを適用後、ライブマイグレーションが失敗する (Ask CORE, 2018.01.18)

Hyper-V の役割をインストール行うと、CPU の機能はハイパーバイザーでサポートしている機能のみ有効となり動作いたします。
1 月の更新プログラムではこのハイパーバイザーでサポートする CPU 機能が追加されており、その結果適用 Hyper-V 環境と未適用の Hyper-V 環境で使用する CPU 機能に差が生じることがあります。

 差異が出るのがまずいわけで、全部に適用すれば無問題だそうです。また、「仮想マシンの設定で、プロセッサーの互換性を有効化することでも対処可能」だそうです。

2018.01.25 追記:

 Endpoint Protection system tray icon reports multiple errors after applying Windows security updates from 1/3/2018 (Symantec, 2018.01.19)。Windows 8.1 / 10、Server 2012 / 2012 R2 / 2016 で発生。 ERASER エンジンの更新 (2018.01.04) とは無関係。 Windows 用 patch が公開されている。

Windows Server 2016 – KB4057142
Windows Server 2012 R2 – KB4057401
Windows Server 2012 – KB4057402
Windows 10 1709 (64-bit) – KB4073290
Windows 10 1709 (32-bit) – KB4073291
Windows 10 1703 – KB4057144
Windows 10 1607 – KB4057142
Windows 8.1 – KB4057401

2018.01.31 追記:

 AMD プロセッサへのセキュリティ更新プログラム提供は、遅くとも 2018.01.23 には再開されていたようです。

 Spectre Valiant 2 (CVE-2017-5715) への対応を無効化する更新プログラムが Microsoft Update カタログで公開されています。1 月の更新プログラム + BIOS 更新によって OS が不安定になっている場合は適用するとよいのかな。

Apple 方面 (iOS, macOS, Safari 更新)
(Apple, 2018.01.09)

 出ました。Spectre (CVE-2017-5753, CVE-2017-5715) 対応だそうです。

2018.01.11 追記:

 Macで再びパスワード関連の脆弱性、「macOS High Sierra」はパスワードなしでシステム環境設定の一部にアクセス可能 (gigazine, 2018.01.11)。macOS High Sierra 10.13.2 の欠陥、10.13.3 で修正される。

APSB18-01 - Security updates available for Flash Player
(Adobe, 2018.01.09)

 Flash Player 28.0.0.137 公開。1 件の欠陥を修正。


2018.01.09


[セキュリティホール memo]
[私について]