セキュリティホール memo - 2019.09

Last modified: Mon Nov 30 19:33:39 2020 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2019.09.30

Exim CVE-2019-16928 RCE using a heap-based buffer overflow
(oss-sec ML, 2019.09.28)

 Exim 4.92〜4.92.2 の欠陥だそうで。 patch: https://git.exim.org/exim.git/patch/478effbfd9c3cc5a627fc671d4bf94d13670d65f。 Exim 4.92.3 で修正される予定。

2019.10.03 追記:

 「Exim 4.92.3」リリース、脆弱性を修正 (OSDN, 2019.10.01)

iPhone 4S~8、Xを脱獄する“アンパッチャブル”なツール「checkm8」、GitHubで公開  悪用される可能性は低い
(ITmedia, 2019.09.30)

 patch 不能を謳う jailbreak ツール checkm8 登場。

追記

Apple 方面 (2019.09.27)


2019.09.27

Apple 方面
(apple)

 いろいろ出ました。

2019.09.30 追記:

 iOS 13 系列の更新がまた出ました。

いろいろ (2019.09.27)
(various)

Cisco IOS, IOS XE

ColdFusion

Jenkins, Jenkins plugins

横河電機 Exaopc, Exaplog, Exaquantum, Exaquantum/Batch, Exasmoc, Exarqe, GA10, InsightSuiteAE

追記

いろいろ (2019.09.25) vBulletin


2019.09.26

追記

「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)

 Thunderbird 68.1.1 が出ました。自動更新で 68 系に移るのは 68.2 からとなります。

いろいろ (2019.09.25) vBulletin

  • Zero-Day RCE in vBulletin v5.0.0-v5.5.4 (sucuri, 2019.09.25)

    To temporarily resolve this issue, navigate from your administration panel to:

    Admincp >> Options >> General Settings

    From here, enable the Disable PHP, Static HTML, and Ad Module rendering setting.

2019.09.25

追記

「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース  スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)

 窓の杜記事 が改訂された。

9月25日編集部追記: 9月24日(米国時間)より本問題に対処したセキュリティ更新プログラムを“Windows Update”からも入手できるようになった。

 しかし、Internet Explorer の累積セキュリティ更新プログラム: 2019 年 9 月 23 日 (Microsoft KB4522007) は変化しておらず、「Microsoft Update カタログ」からしか入手できないままである。ん〜?? と思っていたら、マンスリーロールアップのプレビュー(2019-09 Dパッチ)のことっぽい。

いろいろ (2019.09.25)
(various)

vBulletin

2019.09.26 追記:
  • Zero-Day RCE in vBulletin v5.0.0-v5.5.4 (sucuri, 2019.09.25)

    To temporarily resolve this issue, navigate from your administration panel to:

    Admincp >> Options >> General Settings

    From here, enable the Disable PHP, Static HTML, and Ad Module rendering setting.
2019.09.27 追記:

phpMyAdmin

VMware ESXi, Workstation, Fusion, VMRC, Horizon Client

  • VMSA-2019-0014.1 (VMware, 2019.09.19)

    • CVE-2019-5527: ESXi, Workstation, Fusion, VMRC and Horizon Client use-after-free vulnerability。 ゲスト OS 上の非特権 local user がホスト OS 上で任意のコードを実行できる。
    • CVE-2019-5535: VMware Workstation and Fusion network denial-of-service vulnerability。 VMware NAT 上のゲスト OS から攻略 IPv6 パケットを流すと、 VMware NAT を使っている全ゲスト OS のネットワークアクセスが停止する。

    patch あるいは修正版が用意されている。

Linux Kernel

Norton Password Manager


2019.09.24

「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース  スクリプトエンジンにメモリ破損の欠陥
(窓の杜, 2019.09.24)

 IE に 0-day 欠陥だそうです。hotfix はありますが、

セキュリティ更新プログラムは現在のところ“Microsoft Update カタログ”や“Windows Server Update Services(WSUS)”からのみ提供されており、“Windows Update”からは入手不能。

 Internet Explorer の累積セキュリティ更新プログラム: 2019 年 9 月 23 日 (Microsoft KB4522007, 2019.09.24更新) によると、使用可能なのは「Microsoft Update カタログ」のみです。WSUS には流れていません (手元の WSUS でも確認しました)。 こちらからどうぞ。

 関連:

2019.09.25 追記:

 窓の杜記事 が改訂された。

9月25日編集部追記: 9月24日(米国時間)より本問題に対処したセキュリティ更新プログラムを“Windows Update”からも入手できるようになった。

 しかし、Internet Explorer の累積セキュリティ更新プログラム: 2019 年 9 月 23 日 (Microsoft KB4522007) は変化しておらず、「Microsoft Update カタログ」からしか入手できないままである。ん〜?? と思っていたら、マンスリーロールアップのプレビュー(2019-09 Dパッチ)のことっぽい。

2019.10.04 追記:

 WSUS で以下が流れてきました。

 CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability (Microsoft, 2019.10.03 改訂) を見ると、

Version 2.0, 10/03/2019: To address a known printing issue customers might experience after installing the Security Updates or IE Cumulative updates that were released on September 23, 2019 for CVE-2019-1367, Microsoft is releasing new Security Updates, IE Cumulative Updates, and Monthly Rollup updates for all applicable installations of Internet Explorer 9, 10, or 11 on Microsoft Windows. Please see the Security Updates table for CVE-2019-1367 for the new updates. Note that these updates are available automatically via Windows Update, WSUS, or manually from the Microsoft Update Catalog. This release is separate from the October Update Tuesday release, which is scheduled for October 8, 2019.

 最初のバージョンでは印刷関連で不具合が発生していたのを修正したと。 来週 (日本では 10/9) には月例更新が出るけど、それはそれで適用してね。

2019.10.10 追記:

 【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。

2019.10.21 追記:

 Windows Updateの不都合な現実、再び──IE向け緊急パッチの混乱 (山市良 / @IT, 2019.10.16)


2019.09.23


2019.09.20

Chrome Stable Channel Update for Desktop
(Google, 2019.09.18)

 Chrome 77.0.3865.90 が stable に。4 件のセキュリティ修正を含む。


2019.09.18


2019.09.17

いろいろ (2019.09.17)
(various)

LastPass

BitCoin Lightning Network


2019.09.13


2019.09.12

いろいろ (2019.09.12)
(various)

Wireshark

iTunes for Windows

PHP 7.1 / 7.2 / 7.3

追記

「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)

 Thunderbird 60.9.0 および 68.1.0 が出ました。 自動更新では 68.1.0 ではなく 60.9.0 になります。

 あと、Thunderbird 68 でのセキュリティ更新情報が公開されてました。


2019.09.11

WordPress 5.2.3セキュリティとメンテナンスのリリース
(WordPress, 2019.09.05)

 WordPress 5.2.3 出てました。複数のセキュリティ修正を含みます。 日本語版 5.2.3 も出ています。

Adobe 方面 (Flash Player, Application Manager)
(Adobe, 2019.09.10)

Flash Player

Application Manager

OpenSSL Security Advisory [10 September 2019]
(OpenSSL, 2019.09.10)

 OpenSSL 1.1.1d / 1.1.0l / 1.0.2t 公開。3 件のセキュリティ欠陥 (いずれも Low) が修正されている。 https://www.openssl.org/source/ だとなぜか 1 つ前のバージョンが示されてしまうため、 https://www.openssl.org/source/? からダウンロードしてくださいだそうです。 iida さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
(Google, 2019.09.10)

 Chrome 77.0.3865.75 が stable に。52 件のセキュリティ修正を含む。

2019 年 9 月のセキュリティ更新プログラム (月例)
(Microsoft, 2019.09.11)

 出ました。IE / Edge、Windows、Office、 Flash Player、 ChakraCore、 Lync、 Visual Studio、 Exchange、 .NET Framework、 .NET Core、 Yammer、 ASP.NET、 Team Foundation Server、 Project Rome

 関連: 2019年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2019.09.11)


2019.09.10

JVNVU#98867516 - Exim に TLS ハンドシェイク中の DN および SNI の処理が適切に行われない問題
(JVN, 2019.09.09)

 Exim 4.92.1 以前の TLS ハンドシェイク処理に欠陥があり、remote から無認証で任意のコードを実行できる。CVE-2019-15846

 Exim 4.92.2 で修正されている。関連:

TDF、「LibreOffice 6.3.1」「LibreOffice 6.2.7」を公開 ~2件の脆弱性を修正
(窓の杜, 2019.09.09)

 LibreOffice 6.3.1 / 6.2.7 公開。セキュリティ修正を含むそうです。

安全でないマクロをブロックする対策(CVE-2019-9852)が回避されてしまう欠陥(CVE-2019-9854)と、Windowsの短いファイル名(8.3形式)の検証が十分ではなく、任意の「LibreLogo」スクリプトが実行できてしまう問題が解決されている。

【注意喚起】弊社製品の脆弱性(CVE-2019-9489)を悪用した攻撃を複数確認したことによる最新修正プログラム適用のお願い
(トレンドマイクロ, 2019.09.10)

 ウイルスバスター コーポレートエディション 11.0 SP1 / XG / XG SP1 およびビジネスセキュリティ 9.0 / 9.5 / 10.0 においてディレクトリトラバーサルが可能となる欠陥があり 2019.04.04 に公開済なのだが、実際に攻撃を確認したので注意喚起だそうで。


2019.09.09


2019.09.06


2019.09.05

「Firefox 69」が公開 ~全ユーザーをサードパーティートラッカーと暗号通貨マイニングから保護
(窓の杜, 2019.09.04)

 出ました。

2019.09.20 追記:

 Firefox 69.0.1 がリリースされた (MozillaZine, 2019.09.18)。セキュリティ修正あり。


2019.09.03

追記

2019 年 8 月のセキュリティ更新プログラム (月例) (2019.08.19)

 KB4512941 を適用すると CPU 負荷が高くなり続けるという事例が複数報告されているそうです。また、この現象は BingSearchEnabled を 0 に設定 している場合にのみ発生するそうで、 Windows 10 のデフォルト設定では発生しないそうです。


2019.09.02

追記

FaceTimeのバグであなたのマイクロフォンとカメラを誰でも盗聴盗視可能に (2019.01.29)

 iOS 12.1.4 で修正された、FaceTime とは異なる欠陥の件 CVE-2019-7286 (Foundation) CVE-2019-7287 (IOKit) の詳細が Google Project Zero から公開された。

 そして、攻撃対象はウイグル人だったという話が。

2019 年 8 月のセキュリティ更新プログラム (月例) (2019.08.19)

 VB の件、Windows 10 バージョン 1903 用の patch が出たそうです。

「Firefox 68」が正式公開 ~アドオン管理を改善、新しい拡張機能との出会いの場に (2019.07.10)

 Thunderbird 68.0 が出ました。

複数の SSL VPN 製品の脆弱性に関する注意喚起
(JPCERT/CC, 2019.09.02)

 Palo Alto Networks、Fortinet、Pulse Secure の SSL VPN に欠陥がある話。

 観測報告:

 解説記事:

2019.10.16 追記:

 ツイート:

2020.08.28 追記:

 関連:

2020.11.30 追記:

 警察庁 × CVE-2018-13379


[セキュリティホール memo]
[私について]