セキュリティホール memo - 2019.07

Last modified: Thu Sep 12 19:17:47 2019 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2019.07.31


2019.07.29


2019.07.26


2019.07.25

一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ~VideoLANが声明  サードパーティー製ライブラリに起因するもので、16カ月以上前にすでに修正
(窓の杜, 2019.07.25)

 VLC 3.0.3 以降で修正済だそうです。


2019.07.24

追記

PuTTY 0.72 公開 (2019.07.23)

 iceiv+putty は 0.72 対応版が出ました。榎本さん情報ありがとうございます。

Apple 方面 (iOS, macOS, watchOS, tvOS, Safari, iTunes for Windows, iCloud for Windows)
(Apple, 2019.07.22〜23)

iOS

  • About the security content of iOS 12.4 (Apple, 2019.07.22)。36 件のセキュリティ欠陥を修正。

  • iOS 10 のアップデートについて (Apple)。iOS 10.3.4 が 2019.07.22 付で出ています。 「GPS位置情報のパフォーマンスに影響を及ぼし、間違った日付と時刻がシステムに設定される問題が対処されます」。セキュリティ修正はないみたい。

  • iOS 9 のアップデートについて (Apple)。iOS 9.3.6 が 2019.07.22 付で出ています。 「GPS位置情報のパフォーマンスに影響を及ぼし、間違った日付と時刻がシステムに設定される問題が対処されます」。セキュリティ修正はないみたい。

macOS

watchOS

tvOS

Safari

iTunes / iCloud for Windows


2019.07.23

PuTTY 0.72 公開
(PuTTY, 2019.07.20)

 PuTTY 0.72 公開。セキュリティ修正を含みます。

 関連

2019.07.24 追記:

 iceiv+putty は 0.72 対応版が出ました。榎本さん情報ありがとうございます。


2019.07.22


2019.07.19

いろいろ (2019.07.19)
(various)

Wireshark

libssh2

Linux Kernel


2019.07.18

いろいろ (2019.07.18)
(various)

Symantec Norton Password Manager for Android

追記

 望月さんご指摘ありがとうございます。

7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点 (2019.07.04)

 関連:

  • 狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 (Business Insider, 2019.07.16)

    タロウさんによると、7payの外部IDログインの仕様上の問題点は次のようなものだという。
    • 外部IDを使ったログインの場合、一般的なツールを使うことで容易にID書き換え(後述)によるなりすましログインができた
    • 書き換えに使うID情報は、X桁の数字を元にした整数(※)が含まれ、容易に総当たり、また一部はソーシャル上の公開情報から推測可能だった
    • オムニ7の認証用APIはセブン-イレブンアプリを介すことなく外部から容易にアクセスし、トークン(鍵情報)を入手できる状態だった
    タロウさんは、iPhoneにインストールした7payアプリと、スマホのWiFi通信に割り込んで書き換えるProxyツール「Fiddler」を使い、実際に自身のダミーIDへの侵入テストを試みて成功している。また、その侵入テストの様子は信用に足る形で編集部でも確認した。
  • 【Yahoo! ID連携】実装方法再確認のお願い (Yahoo! JAPAN デベロッパーズネットワーク, 2019.07.18)

    ▼脆弱性のある実装方法
    フロントエンドのJavaScriptやiOS,Androidのネイティブアプリで ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、 ユーザー識別子を送信しログインできてしまうため、不正にログインされる可能性があります。
    そのため、上記のような実装は推奨しておりません。

    ▼推奨する実装方法
    フロントエンドのJavaScriptやiOS,Androidのネイティブアプリではユーザー識別子を直接取得するのではなく、 サーバーサイド・アプリケーションで利用されるフロー(Authorization Codeフロー)を用いて認可コードを連携し サーバーサイドでユーザー識別子などの属性情報を取得してください。

2019 年 7 月のセキュリティ更新プログラム (月例) (2019.07.10)

 PowerShell Core のセキュリティ欠陥情報が公開されました。 PowerShell Core 6.1.5 / 6.2.2 で修正されているそうです。

Drupal core - Critical - Access bypass - SA-CORE-2019-008
(Drupal, 2019.07.17)

 Drupal 8.7.4 のみに欠陥。experimental なモジュールの 1 つである Workspaces モジュールを有効にしている場合に access bypass condition が発生。 具体的にどのような access bypass なのかは記載されていない。

 Workspaces モジュールを無効にすることで回避できる。また Drupal 8.7.5 で修正されている。


2019.07.17

いろいろ (2019.07.17)
(various)

LibreOffice

Oracleが定例パッチ公開、Java SEなど計319件の脆弱性を修正
(Internet Watch, 2019.07.17)

 出ました。

 Java SE は 8u221 / 8u222、11.0.4、12.0.2 が出ています。

 VirtualBox は 5.2.32 と 6.0.10 が出ています。

2019.07.19 追記:

 MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jul 2019) (SIOS, 2019.07.18)


2019.07.16

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 トランプ大統領、ファーウェイ禁輸の事実上解除を表明 (2019.06.29)

 実際のところ、どうなってるの?

 P30 / P30 lite の発売、IIJ が開始するも大手はひきつづき中断中。

 あと、ヨーロッパ方面:

いろいろ (2019.07.16)
(various)

サイボウズ Garoon

Zoom

QNAP NAS

Symantec Messaging Gateway

Intel

Apple AirMac ベースステーション

Knot Resolver

Windows, Linux Kernel, Android

Chrome Stable Channel Update for Desktop
(Google, 2019.07.15)

 Chrome 75.0.3770.142 公開。2 件のセキュリティ修正を含む。


2019.07.15

追記

2019 年 7 月のセキュリティ更新プログラム (月例) (2019.07.10)


2019.07.11

追記

7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点 (2019.07.04)

 関連:


2019.07.10

2019 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft Security Response Center, 2019.07.10)

 出ました。Flash Player, IE / Edge, Windows, Office, Azure DevOps, Open Source Software, .NET Framework, Azure, SQL Server, ASP.NET, Visual Studio, Exchange 。

2019.07.15 追記:

 関連:

2019.07.18 追記:

 PowerShell Core のセキュリティ欠陥情報が公開されました。 PowerShell Core 6.1.5 / 6.2.2 で修正されているそうです。

「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に
(窓の杜, 2019.07.10)

 出てます。ESR は 68 と 60.8.0 になりました。

2019.08.20 追記:

 「Firefox」v68.0.2が公開 ~5件の不具合と1件の脆弱性が修正 (窓の杜, 2019.08.19)、 Firefox 68.0.2、Firefox for Android 68.0.2 がリリースされた (MozillaZine, 2019.08.16)。リリースは 2019.08.14 付。

Firefox ESR 60.8.0 はこの問題の影響を受けない

2019.09.02 追記:

 Thunderbird 68.0 が出ました。

2019.09.12 追記:

 Thunderbird 60.9.0 および 68.1.0 が出ました。 自動更新では 68.1.0 ではなく 60.9.0 になります。

 あと、Thunderbird 68 でのセキュリティ更新情報が公開されてました。

いろいろ (2019.07.10)
(various)

VMware ESXi 6.5 / 6.7

Linux Kernel

Android

Adobe Bridge CC / Experience Manager / Dreamweaver 

cURL

  • Windows OpenSSL engine code injection (cURL, 2019.06.24)。7.65.1_2 より前の curl プロジェクト版 Windows 用バイナリーに存在する欠陥。Windows 10 に同梱されている、Microsoft から配布されている curl にはこの欠陥はない。 curl 7.65.1_2 for Windows で修正。

Django

McAfee ePolicy Orchestrator

Squid (cachemgr.cgi)

Symantec Endpoint Encryption

PostgreSQL


2019.07.09


2019.07.05


2019.07.04

7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点
(三上洋 / Yahoo, 2019.07.04)

 7pay クラック祭りの原因と思しき内容の解説。パスワードリセットメールを任意のアドレスに送付できるという間抜け仕様な上に、2段階認証もないのだそうで。 びっくり。

 関連:

2019.07.05 追記:

 結局のところ、欠陥は 7pay 導入前から存在し、7pay 開始によって表面化した、ということなのかな。

 なお、同時期開始のファミペイでは、目立つ不具合は負荷増大くらいみたい。

2019.07.11 追記:

 関連:

2019.07.18 追記:

 関連:

2019.08.02 追記:

 オムニ7アプリのソースが GitHub で公開されていた模様 (Business Insider が 7/24 付で報道)。

 7iD、全ユーザーのパスワードをリセット (7/30)。

 7pay、9/30 でサービス終了を発表 (8/1)。

 悲惨の極みですが、コンビニ 24 時間営業問題における 7-11 経営陣の時代錯誤感と通ずるものを感じるんだよなあ。

 あと、以下の件は、7pay 自身が終了しちゃうので、結果としてどうでもよくなっちゃいそう:


2019.07.03


2019.07.02

いろいろ (2019.07.02)
(various)

VLC

  • VLC 3.0.7 Vetinari (VLC, 2019.06.07)。「1 high security issue, 21 medium and 20 low security issues were fixed」。 最新は VLC 3.0.7.1。

ひかり電話ルータ/ホームゲートウェイ (NTT東西)

PowerDNS Authoritative Server

Apple 関連 (2019.07.02)
(various)

 交換/リペアエクステンションプログラム (Apple) には以前にもいろいろ出ているので、ご確認を。

追記

総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も (2019.01.26)

 関連:


[セキュリティホール memo]
[私について]