セキュリティホール memo - 2019.10

Last modified: Wed Jan 22 12:54:28 2020 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2019.10.31


2019.10.30


2019.10.29

いろいろ (2019.10.29)
(various)

Bouncy Castle Crypto


2019.10.28

ウイルスバスターコーポレートエディション、Apex One、ウイルスバスタービジネスセキュリティに 2 件の欠陥、内 1 件は 0-day
(トレンドマイクロ, 2019.10.28)

 ウイルスバスターコーポレートエディション、Apex One、ウイルスバスタービジネスセキュリティに、合計 2 件の欠陥。内 1 件は 0-day だそうです。

 patch が出ているので、適用すればよい。

 関連:

2020.01.22 追記:

 三菱電機がやられた話は、本件が原因か?


2019.10.24


2019.10.23

SNSのクロスサイト追跡をブロック、新しいロゴを採用した「Firefox 70」が正式リリース
(窓の杜, 2019.10.23)

 Firefox 70 公開。さまざまな新機能が含まれるそうで。

Chrome Stable Channel Update for Desktop
(Google, 2019.10.22)

 Chrome 78.0.3904.70 が stable に。37 件のセキュリティ修正を含む。$20000 とか $15000 とかいうのもありますね (報告者、同じ人だ)。


2019.10.22

いろいろ (2019.10.22)
(various)

ProFTPd

libssh2

Trend Micro Anti-Threat Toolkit


2019.10.21

追記

「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース  スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)


2019.10.18

いろいろ (2019.10.18)
(various)

HP Touchpoint Analytics


2019.10.17

Safariブラウザ、iOS13で中国Tencentにデータを送信していることが判明
(iPhone Mania, 2019.10.15)

 iOS13 のドキュメントに明記されているのだそうで。

Webサイトを閲覧する前に、SafariはWebサイトのアドレスから算出された情報をGoogle Safe BrowsingおよびTencent Safe Browsingに送信し、そのWebサイトが不正かどうかを確かめます。

 Apple は、Tencent Safe Browsing の利用は中国本土でのみ実施と説明。

 だとしたら、そのように記載すべきだよなあ。

 ところで、香港は、どういう扱いになっているのだろう。

いろいろ (2019.10.17)
(various)

WordPress

VMware Cloud Foundation, VMware Harbor Container Registry for PCF

BIND 14.x / 15.x に 2 件のセキュリティ欠陥
(JPRS, 2019.10.17)

 出ました。

 BIND 9.14.7 / 9.15.5 で修正されている。


2019.10.16

Adobe 方面 (Experience Manager, Acrobat and Reader, Experience Manager Forms, Download Manager)
(Adobe, 2019.10.15)

 出ました。

Experience Manager

Acrobat and Reader

  • Security updates available for Adobe Acrobat and Reader | APSB19-49 (Adobe, 2019.10.15)

    Acrobat / Reader for Windows/macOS に 68 件の欠陥、以下のバージョンで修正。

    種別 更新版
    Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.021.20047
    Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30150
    Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30504

    Priority Rating: 2

Experience Manager Forms

Download Manager

Oracle Critical Patch Update Advisory - October 2019
(Oracle, 2019.10.15)

 Oracle 四半期定例更新出ました。VirtualBox は 6.0.14 / 5.2.34、 Java SE は 13.0.1 / 11.0.5 / 8u231 / 8u232 / 7u241 / 7u242 が出た模様。

 次回は 2020.01.14。

2019.10.17 追記:

 関連:

追記

Apple 方面 (macOS Catalina, iTunes for Windows, iCloud for Windows, Swift for Ubuntu) (2019.10.14)

 iTunes for Windows には Bonjour の 0-day の修正が含まれていたのだそうで。


2019.10.15

Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化
(engadget, 2019.10.15)

 sudo 1.8.27 以前に欠陥。sudo の実行は許可されているが root 権限での実行は許可されていないユーザーが、root 権限を取得できてしまう。

 sudo 1.8.28 で修正されている。

 それにしても、sudo、いつのまに食パンマンになったんだ?

2019.11.18 追記:

 OSS脆弱性ウォッチ(16): 実行順序から解き明かす、sudoコマンドの脆弱性(CVE-2019-14287)が発生した理由 (@IT, 2019.11.18)。面さん情報ありがとうございます。


2019.10.14

Apple 方面 (macOS Catalina, iTunes for Windows, iCloud for Windows, Swift for Ubuntu)
(Apple, 2019.10.07)

 そういえば出てました。

 また、セキュリティ欠陥の修正は含まれないが、Safari 13.0.2 が 2019.10.07 付で macOS Mojave 10.14.6 と High Sierra 10.13.6 用として公開されている。

2019.10.16 追記:

 iTunes for Windows には Bonjour の 0-day の修正が含まれていたのだそうで。

2019.11.05 追記:

 About the security content of macOS Catalina 10.15 (Apple, 2019.10.07) は 2019.10.29 付で 22 項目追加されています。


2019.10.11

Mac向け端末エミュレーター「iTerm2」に深刻な脆弱性 ~Mozillaのセキュリティ監査で発見
(窓の杜, 2019.10.10)

 tmux 実装に欠陥があり、iTerm2 3.3.6 で修正されているそうです。

Chrome Stable Channel Update for Desktop
(Google, 2019.10.10)

 Chrome 77.0.3865.120 公開。5 件のセキュリティ欠陥を修正。 $20500 なんて懸賞金も出てるなあ。


2019.10.10

追記

「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース  スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)

 【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。

2019 年 10 月のセキュリティ更新プログラム (月例) (2019.10.09)

 関連:


2019.10.09

2019 年 10 月のセキュリティ更新プログラム (月例)
(Microsoft Security Response Center, 2019.10.09)

 出ました。Windows、IE / Edge (EdgeHTMLベース)、 ChakraCore、 Office、 SQL Server Management Studio、 Open Source Software、 Dynamics 365、 Windows Update Assistant。「Open Source Software」は Open Enclave SDK と Azure App Service on Azure Stack のことでいいのかな。

 関連:

2019.10.10 追記:

 関連:

2019.11.05 追記:

 不具合情報:

OpenSSH 8.1 リリースノート
(OpenSSH.com, 2019.10.08)

 OpenSSH 8.1 公開。セキュリティトピックが 2 件掲載されている。

 XMSS (eXtended Merkle Signature Scheme) 鍵形式は OpenSSH 7.7 から実験的にサポートされたもの。デフォルトではコンパイルされないし、ふつうの人には関係なさそう。


2019.10.08


2019.10.07


2019.10.04

Cisco Releases Security Updates
(US-CERT, 2019.10.03)

 Cisco Security Advisories に 2019.10.02 付でいっぱい出てきてる件のことかな。

Buffer overflows found in libpcap and tcpdump
(SANS ISC, 2019.10.03)

 libpcap 1.9.1 と tcpdump 4.9.3 が出たそうです。

Unboundの脆弱性情報が公開されました(CVE-2019-16866)
(JPRS, 2019.10.04)

 unbound 1.7.1〜1.9.3 に欠陥。NOTIFY クエリの処理に欠陥があり、 攻略 NOTIFY クエリによって unbound デーモンが crash する。

 unbound 1.9.4 で対応されている。

追記

「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース  スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)

 WSUS で以下が流れてきました。

 CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability (Microsoft, 2019.10.03 改訂) を見ると、

Version 2.0, 10/03/2019: To address a known printing issue customers might experience after installing the Security Updates or IE Cumulative updates that were released on September 23, 2019 for CVE-2019-1367, Microsoft is releasing new Security Updates, IE Cumulative Updates, and Monthly Rollup updates for all applicable installations of Internet Explorer 9, 10, or 11 on Microsoft Windows. Please see the Security Updates table for CVE-2019-1367 for the new updates. Note that these updates are available automatically via Windows Update, WSUS, or manually from the Microsoft Update Catalog. This release is separate from the October Update Tuesday release, which is scheduled for October 8, 2019.

 最初のバージョンでは印刷関連で不具合が発生していたのを修正したと。 来週 (日本では 10/9) には月例更新が出るけど、それはそれで適用してね。


2019.10.03

いろいろ (2019.10.03)
(various)

PDF の暗号化仕様

Linux Kernel

Python

FON

追記

Exim CVE-2019-16928 RCE using a heap-based buffer overflow (2019.09.30)


2019.10.02


2019.10.01


[セキュリティホール memo]
[私について]