セキュリティホール memo - 2021.06

Last modified: Fri Jul 16 15:09:07 2021 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.06.30

Recommended Security Measures for WD My Book Live and WD My Book Live Duo
(Western Digital, 2021.06.29)

 Western Digital の NAS 製品 My Book Live および My Book Live Duo に 0-day 欠陥。 remote から root 権限で任意のコマンドを実行できる。CVE-2021-35941

 こちらの件:

 My Book Live と My Book Live Duo はもはやサポートされておらず、修正もされる予定もない模様。 WD は今すぐインターネットから外せと言っている。

For customers who have lost data as a result of these attacks, Western Digital will provide data recovery services. My Book Live users will also be offered a trade-in program to upgrade to a supported My Cloud device.

 データを消されてしまった人にはリカバリーサービスがあるよ (多分有料)、 サポートされている My Cloud 機器への移行を推奨するよ、だそうで。


2021.06.29


2021.06.28

いろいろ (2021.06.28)
(various)

Linux Kernel CAN BCM

VMware Tools for Windows、VMware Remote Console for Windows、VMware App Volumes

DELL クライアント PC の BIOS


2021.06.25


2021.06.24


2021.06.23


2021.06.21


2021.06.18

Chrome Stable Channel Update for Desktop
(Google, 2021.06.17)

 Chrome 91.0.4472.114 公開。4 件のセキュリティ修正を含む。 内 1 件 CVE-2021-30554 は 0-day だそうで。


2021.06.17

追記

Firefox 89.0 / ESR 78.11.0、Thunderbird 78.11.0 公開 (2021.06.03)

 Firefox 89.0.1 がリリースされた (MozillaZine, 2021.06.17)。Windows 版 Firefox 89 に影響するセキュリティ欠陥 CVE-2021-29968 が修正されています。ESR 78 や Android 版はこの欠陥の影響を受けません。

いろいろ (2021.06.17)
(various)

Intel 方面 (ドライバー、ファームウェア、BIOS 等)

Django

ISC DHCPd

squid

polkitの脆弱性(Important: CVE-2021-3560)
(SIOS, 2021.06.10)

 polkit 0.113 〜 0.118 にセキュリティ欠陥、local user が root 権限を奪取できる。 polkit 0.119 で修正されている。CVE-2021-3560。詳細:

 欠陥がある polkit を同梱していた Linux ディストリビューションは、RHEL 8 以降、Fedora 21 以降、Debian testing (bullseye)、ubuntu 20.04 以降がある模様。 更新パッケージが用意されているので適用すればよい。


2021.06.16

iOS 12.5.4 のセキュリティコンテンツについて
(Apple, 2021.06.14)

 iOS 12 系の最新版登場。3 件のセキュリティ欠陥を修正。内 2 件は WebKit の欠陥で 0-day。

複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
(JPCERT/CC, 2021.06.15)

 EC-CUBE 3.0 系用の複数のプラグインにセキュリティ欠陥があり、修正版が公開されたそうです。


2021.06.15


2021.06.14


2021.06.11

いろいろ (2021.06.11)
(various)

SAP

Android

Adobe 方面 (Connect、Acrobat / Reader、Photoshop、Photoshop Elements、Experience Manager、Creative Cloudデスクトップアプリ、RoboHelp Server、Premiere Elements、After Effects、Animate)
(Adobe, 2021.06.08)

 出ました。

2021 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.06.09)

 Microsoft 2021.06 定例です。 2021 年 6 月のセキュリティ更新プログラム より:

 関連:

2021.07.16 追記:

 Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-33742 の件。

Chrome Stable Channel Update for Desktop
(Google, 2021.06.09)

 Chrome 91.0.4472.101 公開。0-day を含む、14 件のセキュリティ修正を含む。 0-day はこちら:

[$NA][1216437] High CVE-2021-30551: Type Confusion in V8. Reported by Clement Lecigne of Google's Threat Analysis Group and Sergei Glazunov of Google Project Zero on 2021-06-04
(中略)
Google is aware that an exploit for CVE-2021-30551 exists in the wild.

2021.07.16 追記:

 Googleが「ロシア政府系ハッカーがiOSのゼロデイ脆弱性を突いてヨーロッパの政府関係者を攻撃していた」と報告 (gigazine, 2021.07.15)。 CVE-2021-30551 の件。


2021.06.10


2021.06.09


2021.06.08


2021.06.07

追記

いろいろ (2021.05.27) VMware vCenter Server / Cloud Foundation

 JPCERT/CC の注意喚起 が改訂された。

  • VMware vCenter Serverの複数の脆弱性(CVE-2021-21985、CVE-2021-21986)に関する注意喚起 (JPCERT/CC, 2021.06.07 更新)

    JPCERT/CCは、脆弱性(CVE-2021-21985)を悪用し、影響を受けるシステム上で任意のコードを実行する実証コードが公開されていることを確認しています。また、2021年5月28日頃より、脆弱性(CVE-2021-21985)を探索する通信が観測されているとの情報も確認しています。
    本脆弱性の影響を受ける製品を利用しており、とりわけインターネットから直接接続可能な状況で稼働している場合、速やかに対策や回避策を適用することを推奨します。

Apache HTTP Server 2.4.48 Released (2021.06.04)

 2.4.47 の件、iida さんから (ありがとうございます)。

Apache 2.4.47ですが、アーカイブ・サイト <http://archive.apache.org/dist/httpd/> にはいつの間にか置いてありました。

2021.06.04

Apache HTTP Server 2.4.48 Released
(Apache, 2021.06.01)

 apache httpd 2.4.48 公開。iida さん情報ありがとうございます。 2.4.47 は未リリース、という理解でいいのかな。

 うーん、Apache HTTP Server 2.4 vulnerabilities (apache.org) と Changes with Apache 2.4.48 (apache.org) の記述が一致しない。 たぶん Changes の方が正しいだろうから、以下は Changes ベースで書くよ。

 2.4.47 で修正:

 2.4.48 で修正:

2021.06.07 追記:

 2.4.47 の件、iida さんから (ありがとうございます)。

Apache 2.4.47ですが、アーカイブ・サイト <http://archive.apache.org/dist/httpd/> にはいつの間にか置いてありました。

Wireshark 3.4.6 and 3.2.14 Released
(Wireshark, 2021.06.02)

 Wireshark 3.4.6 / 3.2.14 公開。3.4.6 では wnpa-sec-2021-05 - DVB-S2-BB dissector infinite loop が修正されている。3.2.14 にはセキュリティ修正はないみたい。


2021.06.03

Firefox 89.0 / ESR 78.11.0、Thunderbird 78.11.0 公開
(Mozilla, 2021.06.01)

 出ました。

2021.06.17 追記:

 Firefox 89.0.1 がリリースされた (MozillaZine, 2021.06.17)。Windows 版 Firefox 89 に影響するセキュリティ欠陥 CVE-2021-29968 が修正されています。ESR 78 や Android 版はこの欠陥の影響を受けません。


2021.06.02


2021.06.01


[セキュリティホール memo]
[私について]