セキュリティホール memo - 2018.06

Last modified: Tue Jul 10 17:31:13 2018 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2018.06.29


2018.06.28

追記

Security updates available for Flash Player | APSB18-19 (2018.06.08)

 Windows 7 + IE 11 + Flash Player 30 の環境で、動画の再生に不具合が生じることがある模様。

 当面は、Chrome や Firefox など、別のブラウザを使うしかなさげ。

 なお、どうしても Flash Player 29 に戻したい場合 (全く推奨できない) はこちらを参考に:


2018.06.27


2018.06.26

レッツノート用「バッテリー診断・制御プログラム」でOSが起動しなくなる不具合
(PC Watch, 2018.06.25)

 パナソニック Let's Note のバッテリー不具合に対応するために、2018.06.12 から公開された「バッテリー診断・制御プログラム」に欠陥。「Windowsがある割り込み制御を行なったタイミングと重なると、エラーが発生」し、起動できなくなる。当該エラーの発生確率は 0.4% だというが、回復にはメインボードの交換が必要になるという。

同社によると、6月25日午前9時までのダウンロード数は、14,230台であり、そのうち、53台のPCで、起動しないなどの不具合が発生しているという。

 本欠陥が発生するのは、「CF-S10/N10シリーズ、 CF-SX1/NX1シリーズ、 CF-SX2/NX2シリーズ」の模様。これら専用の「バッテリー診断・制御プログラム」、および全機種用の「バッテリー診断・制御プログラム」のダウンロードが停止されている。修正版は 2018.07.05 公開予定。

[Mailman-Users] Mailman 2.1.27 released
(Mailman-Users ML, 2018.06.22)

 Mailman 2.1.27 公開。セキュリティ修正が含まれています。二木さん情報ありがとうございます。

- Existing protections against malicious listowners injecting evil
  scripts into listinfo pages have had a few more checks added.
  JVN#00846677/JPCERT#97432283

- A few more error messages have had their values HTML escaped.
  JVN#00846677/JPCERT#97432283

- The hash generated when SUBSCRIBE_FORM_SECRET is set could have been
  the same as one generated at the same time for a different list and
  IP address.  While this is not thought to be exploitable in any way,
  the generation has been changed to avoid this.  Thanks to Ralf Jung.

 https://bazaar.launchpad.net/~mailman-coders/mailman/2.1/revision/1785/NEWS によると、JVN#00846677 は CVE-2018-0618 だそうです。 こちらも二木さんの情報 (ありがとうございます)。


2018.06.25


2018.06.22

いろいろ (2018.06.22)
(various)

phpMyAdmin

moodle


2018.06.21

いろいろ (2018.06.21)
(various)

Symantec Endpoint Protection

Cisco

GnuPG, Enigmail, GPGTools, python-gnupg (SigSpoof, CVE-2018-12020)

VMware AirWatch Agent


2018.06.20

追記

2018 年 2 月のセキュリティ更新プログラム (月例) (2018.02.14)

 Windows 10 Version 1607 および Windows Server 2016 の KB4074590 の「既知の問題」について (マイクロソフト Network & AD サポートチーム公式ブログ, 2018.06.18)

KB4074590 で winnat.sys ドライバーの不具合を修正した結果、winnat.sys が予約する TCP ポート番号が変化します。
これにより、KB4074590 を適用すると、以前はアプリケーション用に予約できていたポート番号を winnat.sys が予約することで、そのアプリケーション用に予約できなくなる可能性があります。

2018 年 6 月のセキュリティ更新プログラム (月例) (2018.06.13)

Coinhive は不正指令電磁的記録なのか? (2018.06.12)

 関連:


2018.06.19


2018.06.13

2018 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.06.13)

 出ました。IE / Edge, Windows, Office, ChakraCore, Flash Player。

2018.06.20 追記:

 関連:

BIND 9.xの脆弱性(サービス提供者が意図しないアクセスの許可)について (CVE-2018-5738) - 設定の確認と適切な更新を強く推奨 -
(JPRS, 2018.06.13)

 BIND 9.9.12 / 9.10.7 / 9.11.3 / 9.12.0〜9.12.1-P2 における、 ACL のデフォルト設定に欠陥。 設定ファイル (named.conf) において

場合、再帰的問い合わせは localnets と localhost のみに限定される……はずが、 全ての IP アドレスに対して許可される = オープンリゾルバーになることが判明。

 BIND 9.9.13 / 9.10.8 / 9.11.4 / 9.12.2 で修正される予定。 ACL を設定することで回避できる。

OpenSSL Security Advisory [12 June 2018]
(OpenSSL, 2018.06.12)

 長大な DH パラメーターによってクライアント側が DoS 攻撃を受ける欠陥 CVE-2018-0732 を確認。 Severity: Low。OpenSSL 1.1.0i および OpenSSL 1.0.2p で修正される予定 (未リリース)。Git リポジトリ上では既に修正されている。

 iida さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
(Google, 2018.06.12)

 Chrome 67.0.3396.87 公開。1 件のセキュリティ修正を含む。


2018.06.12

Coinhive は不正指令電磁的記録なのか?
(various)

 Coinhive を設置するとケーサツが飛んでくるらしい。

2018.06.13 追記:

 モロ氏が寄付について言及されています。

 YUKI Keiichi さんのツイート:

 あと、毎日がケーサツの主張たれ流し記事を出してます。

2018.06.20 追記:

 関連:


2018.06.11

いろいろ (2018.06.11)
(various)

各種のアーカイブ操作用コードにディレクトリトラバーサル可能な欠陥

GnuPG

追記

ネットワーク機器を標的とするマルウェア「VPNFilter」について (2018.05.25)

 VPNFilter、対応ベンダーが増えたり第 3 段の機能がより攻撃的になったりした模様です。


2018.06.08

Security updates available for Flash Player | APSB18-19
(Adobe, 2018.06.08)

 Flash Player 29.0.0.171 以前に 0-day 欠陥 CVE-2018-5002、 Flash Player 30.0.0.113 で修正 (メジャーバージョンが上がってる!)。 Priority: 1 (Linux 版のみ 3)。

 Flash Player 30.0.0.113 では上記の他に 3 件のセキュリティ修正を行っている。 CVE-2018-4945 CVE-2018-5000 CVE-2018-5001

2018.06.28 追記:

 Windows 7 + IE 11 + Flash Player 30 の環境で、動画の再生に不具合が生じることがある模様。

 当面は、Chrome や Firefox など、別のブラウザを使うしかなさげ。

 なお、どうしても Flash Player 29 に戻したい場合 (全く推奨できない) はこちらを参考に:


2018.06.07

Chrome Stable Channel Update for Desktop
(Google, 2018.06.06)

 Chrome 67.0.3396.79 公開。1 件のセキュリティ修正を含みます。 iida さん情報ありがとうございます。

追記

Firefox 60.0 / ESR 60.0 / ESR 52.8.0 公開 (2018.05.09)

 Firefox 60.0.2 / ESR 60.0.2 / ESR 52.8.1 公開されました。 セキュリティ修正 CVE-2018-6126: Heap buffer overflow rasterizing paths in SVG with Skia を含みます。 iida さん情報ありがとうございます。


2018.06.06


2018.06.05

追記

2018 年 5 月のセキュリティ更新プログラム (月例) (2018.05.11)

メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起 (2018.05.15)

 EFAIL の件、iOS 11.4, macOS High Sierra 10.13.5 で修正された模様。 (誤記修正: 池田さん感謝)

Apple 方面 (macOS, Safari, iCloud for Windows)
(Apple, 2018.06.01)

Apple 方面 (iOS, watchOS, tvOS, iTunes for Windows)
(Apple, 2018.05.29)


2018.06.04


[セキュリティホール memo]
[私について]