セキュリティホール memo - 2020.12

Last modified: Mon Mar 30 12:18:31 2020 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2020.12.28

シトリックス製品を悪用したDDoS攻撃を確認--対応パッチは1月に提供予定
(ZDNet, 2020.12.25)

 こちらの件: Threat Advisory - DTLS Amplification Distributed Denial of Service Attack on Citrix ADC (Citrix, 2020.12.25)。とりあえず、 set vpn vserver <vpn_vserver_name> -dtls OFF で DTLS を無効化することにより回避できる模様。 対応版は 2021.01.12 に公開予定。

2021.01.06 追記:

 Threat Advisory - DTLS Amplification Distributed Denial of Service Attack on Citrix ADC (Citrix) が改訂されている。 2021.01.04 付で enhancement build が公開された模様。

Citrix has added a feature enhancement for DTLS which, when enabled, addresses the susceptibility to this attack pattern. The enhancement builds are available on the Citrix downloads page for the following versions: (中略)
Customers using DTLS are recommended to upgrade to the enhancement build and enable “HelloVerifyRequest” in each DTLS profile by using the following ADC CLI instructions:

 DDoS 攻撃への対応としては、

となるようです。


2020.12.25


2020.12.23

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

Firefox 84.0 / ESR 78.6.0 公開 (2020.12.16)

 Firefox 84.0.1 が出ています。ESR 版と Android 版は更新されていません。

  • Firefox 84.0.1 がリリースされた (Mozilla, 2020.12.23)

    • 特定のサードパーティー製 PKCS11 モジュールとスマートカードがインストールされている環境における、セキュアなウェブサイトの読み込みとクラッシュに関する問題を修正 (bug 1682881)
    • 特定の Windows ユーザーにおいて、Canvas 要素について想定よりもパフォーマンスが低く、ちらつくことがある問題を修正 (bug 1683116)
    • Apple Silicon 搭載のデバイスにおいて、OS のバージョン判定が適切に行われないことにより Unity JS ゲームが読み込まれないことがある問題を修正 (bug 1680516).
    • サードパーティー製アンチウイルスソフトウェアによってクラッシュすることがある問題を修正

続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している (2020.12.21)

 ブラウザアプリ「Smooz」、サービス終了 (ケータイ Watch, 2020.12.23)。修正しようがなかった、ということですかね。


2020.12.22

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

The Great iPwn - Journalists Hacked with Suspected NSO Group iMessage ‘Zero-Click’ Exploit
(CitizenLab, 2020.12.20)

 イスラエル企業 NSO Group の Pegasus スパイウェアが、アルジャジーラに務める 36 人のジャーナリスト・プロデューサー・アンカー・幹部らの iPhone (iOS 13.x) を、1 年以上にわたってハックしていた話。 ロンドンに拠点を置く Al Araby TV のジャーナリスト Rania Dridi 氏の iPhone もハクられていた。 NSO Group の顧客は、さまざまな国家の政府機関。

 攻撃は iMessage 経由の、クリック不要なものだそうで。 そういえば、昨年明らかとなった Karma も iMessage でしたね。

 本件で突かれた穴は iOS 14 で塞がれているそうです。

 関連報道:


2020.12.21

追記

Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起 (2020.12.09)

 JPCERT/CC 注意喚起が 12/21 付で更新されている。

JPCERT/CC では、本脆弱性を悪用した攻撃活動が観測されたとの情報を確認しています。本脆弱性を修正したバージョンを未適用の方は、早急なバージョンアップを推奨します。

続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
(reliphone, 2020.12.20)

 スマホ用 Web ブラウザ Smooz はスパイウェアだ、という話。

 どう見てもスパイウェアです。当該アプリは既に App Store / Google Play からダウンロードできなくなっています。インストール済の人は今すぐ消そう。

 関連:

2020.12.23 追記:

 ブラウザアプリ「Smooz」、サービス終了 (ケータイ Watch, 2020.12.23)。修正しようがなかった、ということですかね。


2020.12.18

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

 関連:

いろいろ (2020.12.18)
(various)

cURL


2020.12.16

Apple 方面 (macOS、Safari、iOS、WatchOS、tvOS)
(Apple, 2020.12.14)

 いろいろ出ました。

Firefox 84.0 / ESR 78.6.0 公開
(Mozilla, 2020.12.15)

 Thunderbird 78.6.0 も出ています。

2020.12.23 追記:

 Firefox 84.0.1 が出ています。ESR 版と Android 版は更新されていません。

2021.01.07 追記:

 Firefox 84.0.2 / ESR 78.6.1、Firefox for Android 84.1.3 が出ています。 critical なセキュリティ欠陥 1 件が修正されています。

2021.01.13 追記:

 Thunderbird 78.6.1 が出ています。

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

 2020.2.1 HF 2 がリリースされた。 SolarWinds Security Advisory も改訂されている:

The hotfix release 2020.2.1 HF 2 is now available in the SolarWinds Customer Portal at customerportal.solarwinds.com. We recommend that all customers update to release 2020.2.1 HF 2, as the 2020.2.1 HF 2 release both replaces the compromised component and provides several additional security enhancements.

 また Windows Defender が本件に対応するそうで: マイクロソフト、米政府機関などへの攻撃に関連するSolarWindsのソフトウェアを隔離へ (CNET, 2020.12.16)


2020.12.15

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて
(JPCERT/CC, 2020.12.15)

 IT 管理ソフトウェア SolarWinds Orion Platform 2019.4 HF 5 / 2020.2 (hotfix 未適用) / 2020.2 HF 1 に欠陥。 欠陥の詳細は不明だが、既にサプライチェーン攻撃が行われている。 この欠陥は、APT29 (Cozy Bear) による、米財務省・商務省ネットワークなどへの攻撃に使用された。

 Orion Platform 2019.4 HF 6 / 2020.2.1 HF 1 で修正されている。 また Orion Platform 2020.2.1 HF 2 が 2020.12.15 (US 日付) にリリースされる予定。追加の対応およびセキュリティ強化がされており、リリースされ次第の適用が推奨されている。

 関連:

2020.12.16 追記:

 2020.2.1 HF 2 がリリースされた。 SolarWinds Security Advisory も改訂されている:

The hotfix release 2020.2.1 HF 2 is now available in the SolarWinds Customer Portal at customerportal.solarwinds.com. We recommend that all customers update to release 2020.2.1 HF 2, as the 2020.2.1 HF 2 release both replaces the compromised component and provides several additional security enhancements.

 また Windows Defender が本件に対応するそうで: マイクロソフト、米政府機関などへの攻撃に関連するSolarWindsのソフトウェアを隔離へ (CNET, 2020.12.16)

2020.12.18 追記:

 関連:

2020.12.22 追記:

 関連:

2020.12.23 追記:

 関連:

2021.01.07 追記:

 関連:

2021.01.13 追記:

 関連:

追記

ファイル・データ転送アプライアンス FileZen に関する注意喚起 (2020.12.02)

 より詳しい情報が公開された。

DNSキャッシュポイズニングの新たな手法「SAD DNS」、研究者が発見 (2020.11.18)

 本件の CVE 番号は CVE-2020-25705 だそうで。でもこれ、Linux Kernel 限定になっているような。

 Microsoft は SAD DNS 緩和策として UDP サイズ上限を 1221 とする設定を示した。 DNS flag day 2020 の UDP サイズ上限は 1232 だが、それより小さい。


2020.12.14


2020.12.11

JVNVU#91053554 - OpenSSL における NULL ポインタ参照の脆弱性
(JVN, 2020.12.09)

 OpenSSL に重大 (Severity: High) な欠陥。 GENERAL_NAME_cmp 関数で NULL ポインタ参照が発生する欠陥があり、 細工した X.509 証明書を検証すると crash する。 CVE-2020-1971 (ずいぶん若い CVE 番号だなあ。いつ取られたんだろう)

 iida さん、戸井さん情報ありがとうございます。


2020.12.10

Adobe 方面 (Prelude, Experience Manager, Lightroom, Acrobat)
(Adobe, 2020.12.08)

 出ました。


2020.12.09

Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
(JPCERT/CC, 2020.12.09)

 Apache Struts 2 2.0.0〜2.5.25 に欠陥。特定の条件において remote からコードの実行が可能に。Struts 2 2.5.26 で修正されている。

2020.12.21 追記:

 JPCERT/CC 注意喚起が 12/21 付で更新されている。

JPCERT/CC では、本脆弱性を悪用した攻撃活動が観測されたとの情報を確認しています。本脆弱性を修正したバージョンを未適用の方は、早急なバージョンアップを推奨します。

いろいろ (2020.12.09)
(various)

Trend Micro ServerProtect for Linux

Trend Micro InterScan Messaging Security

EC-CUBE

desknet's NEO

2020 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2020.12.09)

 Microsoft 2020.12 patch 公開。対象:

 FAQ:

 関連:


2020.12.08

いろいろ (2020.12.08)
(various)

NSD, Unbound

 pid file の扱いに関する欠陥 CVE-2020-28935

Apache Tomcat

WebKitGTK / WPE WebKit

iOS


2020.12.07


2020.12.04


2020.12.03

Chrome Stable Channel Update for Desktop
(Google, 2020.12.02)

 Chrome 87.0.4280.88 公開。8 件のセキュリティ修正を含む。


2020.12.02

ファイル・データ転送アプライアンス FileZen に関する注意喚起
(JPCERT/CC, 2020.12.02)

 FileZen V4.2.2 以前に欠陥。詳細不明。 V4.2.3 以降で修正されている。 最新は V5.0.0 / V4.2.5。

2020.12.15 追記:

 より詳しい情報が公開された。

追記

Firefox 83.0 / ESR 78.5.0 公開 (2020.11.18)

 Thunderbird 78.5.0、78.5.1 が出ています。 セキュリティ修正を含みます。


[セキュリティホール memo]
[私について]