セキュリティホール memo - 2021.03

Last modified: Fri Jul 16 15:09:08 2021 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.03.31

Chrome Stable Channel Update for Desktop
(Google, 2021.03.30)

 Chrome 89.0.4389.114 公開。8 件のセキュリティ修正を含む。

2021.04.02 追記:

 Release notes for Microsoft Edge Security Updates: April 1, 2021 (Microsoft)。 Chrome 89.0.4389.114 に対応する Edge Stable Channel 89.0.774.68 が公開されました。


2021.03.30


2021.03.29

Apple 方面 (iOS, iPadOS, watchOS)
(Apple, 2021.03.26)

 攻略 Web ページを閲覧するとユニバーサル XSS が発生する 0-day 欠陥 CVE-2021-1879 を修正。

2021.07.16 追記:

 Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-1879 の件。


2021.03.27


2021.03.26

OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
(JPCERT/CC, 2021.03.26)

 OpenSSL 1.1.1k 公開。Severity: High のセキュリティ欠陥 2 件が修正されている。 いずれの欠陥も OpenSSL 1.0.2 には影響しない。 iida さん情報ありがとうございます。


2021.03.25


2021.03.24

追記

2021 年 3 月のセキュリティ更新プログラム (月例) (2021.03.10)

 KB5000802 / KB5000808 で印刷時に BSOD の件、Windows 7 / 8.1 用の更新プログラムも出たそうです。 Microsoft Update Catalog から入手できます。

 あと、Windows 10 用の更新プログラムも、Windows Update には流れてくるけど WSUS には流れてこない (流したい場合は手動でインポートする必要がある) のですね。


2021.03.23

追記

2021 年 3 月のセキュリティ更新プログラム (月例) (2021.03.10)

 KB5000802 / KB5000808 で印刷時に BSOD の件、Microsoft から Windows 10 用の更新プログラムが公開されました。 印刷の不具合を解消する更新プログラムではなく、 印刷の不具合が解消された累積的更新プログラムになっています。 Windows 10 バージョン 2004 / 20H2 用の更新プログラム KB5001649 で不具合が発生し Windows Update での公開が一時停止されていたそうですが、現在は再開されているそうです。


2021.03.22

追記

いろいろ (2021.03.11) - F5


2021.03.19


2021.03.18


2021.03.17


2021.03.16

追記

Released: March 2021 Exchange Server Security Updates (2021.03.03)

 関連:


2021.03.15

追記

2021 年 3 月のセキュリティ更新プログラム (月例) (2021.03.10)

 KB5000802 / KB5000808 で印刷時に BSOD の件、京セラから回避策が公開されていた。

 また Microsoft からも回避策が公開された。Type 3 プリンタードライバー (v3 printer driver, Microsoft Universal print driver) で問題が発生することがあるそうで。Type 4 プリンタードライバー (v4 printer driver) では問題は発生しないと。

いろいろ (2021.03.15)
(various)

GnuTLS

Chrome Stable Channel Update for Desktop
(Google, 2021.03.12)

 Chrome 89.0.4389.90 公開。0-day を含む 5 件のセキュリティ欠陥を修正。


2021.03.12

追記

2021 年 3 月のセキュリティ更新プログラム (月例) (2021.03.10)

 KB5000802 / KB5000808 で印刷時に BSOD の件、京セラプリンターで事象が発生したがプリンタドライバーを最新にすることで対応できたというツイートがあった。

  • こちら:


2021.03.11

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

2021 年 3 月のセキュリティ更新プログラム (月例) (2021.03.10)

 KB5000802 / KB5000808 で印刷時に BSOD の件、ツイートでは京セラ製品が目立つような気が。

 Windows 10 crashes when printing due to Microsoft March updates (bleepingcomputer, 2021.03.10) で名前が上がっているのは「include Kyocera, Ricoh, and Dymo」。 KB5000802 / KB5000808適用後、印刷時にブルースクリーン(BSoD)が発生する不具合 [Update 2: 調査開始、配信再開] (ニッチなPCゲーマーの環境構築Z, 2021.03.11) で前が上がっているのは「京セラ、Zebra、リコーなど」。

 関連記事:

 その他:

Released: March 2021 Exchange Server Security Updates (2021.03.03)

Chrome Stable Channel Update for Desktop
(Google, 2021.03.02)

 そういえば Chrome 89.0.4389.72 出てました。 47 件のセキュリティ修正を含ます。

 その後さらに 89.0.4389.82 が 2021.03.05 付で出ています。こちらにはセキュリティ修正はありません。

 関連: Google Chrome 89安定版リリース、ブラウザから外部のハードウェアに接続可能なAPIが搭載される (gigazine, 2021.03.03)

2021.07.16 追記:

 Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-21166 の件。

いろいろ (2021.03.11)
(various)

F5

2021.03.22 追記:

NETGEAR JGS516PE / GS116Ev2 スイッチ

トレンドマイクロ ウイルス検索エンジン、高度な脅威検索エンジン

Git, Git for Windows

Squid

Go

Adobe 方面 (Framemaker, Creative Cloud Desktop Application, Connect)
(Adobe, 2021.03.09)

 出てます。


2021.03.10

2021 年 3 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.03.10)

 Microsoft 定例 patch 出ました。 March 2021 Security Updates より:

 関連:

2021.03.11 追記:

 KB5000802 / KB5000808 で印刷時に BSOD の件、ツイートでは京セラ製品が目立つような気が。

 Windows 10 crashes when printing due to Microsoft March updates (bleepingcomputer, 2021.03.10) で名前が上がっているのは「include Kyocera, Ricoh, and Dymo」。 KB5000802 / KB5000808適用後、印刷時にブルースクリーン(BSoD)が発生する不具合 [Update 2: 調査開始、配信再開] (ニッチなPCゲーマーの環境構築Z, 2021.03.11) で前が上がっているのは「京セラ、Zebra、リコーなど」。

 関連記事:

 その他:

2021.03.12 追記:

 KB5000802 / KB5000808 で印刷時に BSOD の件、京セラプリンターで事象が発生したがプリンタドライバーを最新にすることで対応できたというツイートがあった。

2021.03.15 追記:

 KB5000802 / KB5000808 で印刷時に BSOD の件、京セラから回避策が公開されていた。

 また Microsoft からも回避策が公開された。Type 3 プリンタードライバー (v3 printer driver, Microsoft Universal print driver) で問題が発生することがあるそうで。Type 4 プリンタードライバー (v4 printer driver) では問題は発生しないと。

2021.03.23 追記:

 KB5000802 / KB5000808 で印刷時に BSOD の件、Microsoft から Windows 10 用の更新プログラムが公開されました。 印刷の不具合を解消する更新プログラムではなく、 印刷の不具合が解消された累積的更新プログラムになっています。 Windows 10 バージョン 2004 / 20H2 用の更新プログラム KB5001649 で不具合が発生し Windows Update での公開が一時停止されていたそうですが、現在は再開されているそうです。

2021.03.24 追記:

 KB5000802 / KB5000808 で印刷時に BSOD の件、Windows 7 / 8.1 用の更新プログラムも出たそうです。 Microsoft Update Catalog から入手できます。

 あと、Windows 10 用の更新プログラムも、Windows Update には流れてくるけど WSUS には流れてこない (流したい場合は手動でインポートする必要がある) のですね。


2021.03.09

macOSやiOS/iPadOS、watchOSにセキュリティパッチ ~「WebKit」に任意コード実行の欠陥
(窓の杜, 2021.03.09)

 iOS/iPadOS、watchOS、macOS、Safari に欠陥。WebKit に欠陥があり、攻略 Web ページを閲覧すると任意のコードが実行される。CVE-2021-1844

 iOS/iPadOS 14.4.1、watchOS 7.3.2、macOS Big Sur 11.2.3、Safari 14.0.3 (for macOS Catalina / Mojave) で修正されている。


2021.03.08

 文字コード不整合により文字化けが発生していました。 sakai shintarou さん、WHWHWH さん、中田さんご指摘ありがとうございます。


2021.03.06

追記

Released: March 2021 Exchange Server Security Updates (2021.03.03)

【重要】FileZen設定内容確認のお願い
(ソリトン, 2021.03.05 更新)

 FileZen V4.2.7 以前、および V5.0.0〜5.0.2 に欠陥。OS コマンドインジェクション可能な欠陥があり、「システム管理者画面にログオンした状態から、FileZenを不正に操作することが可能」。

新たに確認した脆弱性は、システム管理者としてログオンしているセッション内に限り発現するものです。しかしながら、V4.2.2までの脆弱性を利用しFileZenに侵入された場合、パスワードを窃取する手法があることも確認しています。

 どうやら、昨年の「ファイル・データ転送アプライアンス FileZen に関する注意喚起」 で修正されたのは、remote から FileZen に侵入できるような欠陥だった模様。

 FileZen V4.2.8 / V5.0.3 で修正されている。 また、ファームウェアの更新如何にかかわらず、「対策手順」に記載された以下の内容の実施が要請されている。

・新たなシステム管理者の作成と「admin」無効化 (5-1)
・「admin」以外の既存システム管理者アカウントの降格または削除 (5-2)
・システム管理者のアクセス制御に関する設定 (5-3)

2021.03.04


2021.03.03

Released: March 2021 Exchange Server Security Updates
(Microsoft, 2021.03.02)

 Exchange 2013 / 2016 / 2019 に複数の 0-day 欠陥 CVE-2021-26855 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 。中国政府系の攻撃者 Hafnium に悪用されている。

 Exchange 2010 を含め、定例外 patch にて対応。

 関連

2021.03.06 追記:

 関連:

2021.03.11 追記:

 関連:

2021.03.16 追記:

 関連:


2021.03.02

Apache Tomcatの脆弱性情報(Important: CVE-2021-25122, Low: CVE-2021-25329 )
(SIOS, 2021.03.02)

 Tomcat 10.0.2 / 9.0.43 / 8.5.63 / 7.0.108 (2021.02.02 リリース) のセキュリティ修正情報が 2021.03.01 付で公開された。 2 件の欠陥が修正されている。

追記

Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起 (2020.05.21)

 JPCERT/CC 注意喚起が改訂された。

Apache Software Foundationは、2021年3月1日(米国時間)に、Apache Tomcatの脆弱性(CVE-2021-25329)に関する情報を公開しました。一般的に利用されないまれな構成において、CVE-2020-9484の修正が不十分であったため、CVE-2021-25329として新規採番し、修正が行われました。

 CVE-2021-25329。 Tomcat 10.0.2 / 9.0.43 / 8.5.63 / 7.0.108 で修正されている。


[セキュリティホール memo]
[私について]