セキュリティホール memo - 2022.03

Last modified: Thu Jun 9 11:49:26 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2022.03.31

いろいろ (2022.03.31)
(various)

アタッシェケース

NVIDIA CUDA Toolkit


2022.03.30

Chrome Stable Channel Update for Desktop
(Google, 2022.03.29)

 Chrome 100.0.4896.60 が stable に。28 件のセキュリティ修正を含む。


2022.03.29

追記

いろいろ (2021.12.06) エレコム WRH-733GBK、WRH-733GWH、WRC-2533GHBK-I、WRC-1167GST2、WRC-1167GST2A、WRC-1167GST2H、 WRC-2533GST2、WRC-2533GST2SP、WRC-2533GST2-G、EDWRC-2533GST2、 WRC-2533GS2-B、WRC-2533GS2-W、WRC-1750GS、WRC-1750GSV、 WRC-1900GST、WRC-2533GST、WRC-2533GSTA

Trend Micro Apex Central製品の脆弱性(CVE-2022-26871)に関する注意喚起
(JPCERT/CC, 2022.03.29)

 トレンドマイクロ Apex Central 2019 / Apex Central (SaaS) に 0-day 欠陥。 ファイルへの処理に不備があり、任意のファイルをアップロードできる。 これにより、remote からの任意のコードの実行が可能となる。CVE-2022-26871

 Apex Central 2019 patch 3 (ビルド 6016) および、 2022/03/16 のメンテナンス 以降の Apex Central (SaaS) で対応されている。


2022.03.28

Chrome Stable Channel Update for Desktop
(Google, 2022.03.25)

 Chrome 99.0.4844.84 公開。0-day 欠陥 CVE-2022-1096 を修正。

いろいろ (2022.03.28)
(various)

zlib

  • zlib 1.2.12 が 2022.03.27 付で公開されている。 1.2.2.2〜1.2.11 に存在した、特定の入力によってメモリ破壊が発生する欠陥 CVE-2018-25032 が修正されている。 patch

PowerDNS

Drupal

VMware Carbon Black App Control

Moodle


2022.03.25

いろいろ (2022.03.25)
(various)

Rufus

  • Rufus

    変更履歴 (英語)
    バージョン 3.18 (2022.03.11)
    Fix DLL sideloading vulnerabilities

追記

2022 年 3 月のセキュリティ更新プログラム (月例) (2022.03.09)

 Microsoft、特定のBluetooth機器に起因するブルースクリーン問題を解決【3月24日追記】  2022年1月のプレビューパッチ「KB5009596」以降を適用の一部Windows 10デバイスで発生 (窓の杜, 2022.03.22)。 2022年3月のプレビューパッチで修正されているそうで。 当該不具合に遭遇している場合はお試しあれ。


2022.03.24


2022.03.22


2022.03.18

LibreSSL 3.3.6, 3.4.3, 3.5.1 Released
(OpenBSD, 2022.03.15)

 LibreSSL 3.3.6 / 3.4.3 / 3.5.1 公開。セキュリティ修正を含むそうです。

A malicious certificate can cause an infinite loop. Reported by and fix from Tavis Ormandy and David Benjamin, Google.

 OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-2022-0778) と同様のようです。

Chrome Stable Channel Update for Desktop
(Google, 2022.03.15)

 Chrome 99.0.4844.74 公開。11 件のセキュリティ修正を含む。


2022.03.17

BIND 方面 4 件 (CVE-2021-25220, CVE-2022-0396, CVE-2022-0635, CVE-2022-0667)
(JPRS, 2022.03.17)

BIND 9.1.0〜9.18.0

  • BIND 9.xの脆弱性(キャッシュポイズニングの危険性)について (CVE-2021-25220) - DNSフォワーダーのみ対象、バージョンアップを推奨 - (JPRS, 2022.03.17)

    特定の条件において不正な NS レコードをキャッシュし使用してしまう。 特定の条件とは:

    • グローバルに、あるいはゾーンごとにおいて、 forward first (forward 設定のデフォルト) を設定しているリゾルバー

    • グローバルには設定していないが、ゾーンごとの設定において、 forward first あるいは forward only を設定しているリゾルバー

    • グローバルに forwarding を設定しているが、 一部の DNS 名前空間に対しては forwarding が無効となるような zone ステートメントを設定しているリゾルバー

    BIND 9.11.37 / 9.16.27 / 9.18.1 および BIND 9.11.37-S1 / 9.16.27-S1 で修正されている。

bind 9.16.11〜26 / 9.18.0

BIND 9.18.0


2022.03.16

OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-2022-0778)
(OpenSSL, 2022.03.15)

 OpenSSL 1.0.2 / 1.1.1 / 3.0 に欠陥。BN_mod_sqrt() に無限ループに陥る欠陥があり、 攻略証明書を使った DoS 攻撃を実施できる。iida さん情報ありがとうございます。 CVE-2022-0778

 OpenSSL 1.0.2zd / 1.1.1n / 3.0.2 で修正されている。

JVNVU#99602154 - Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
(JVN, 2022.03.15)

 Apache HTTP Server 2.4.53 公開。2.4.52 以前に存在した 4 件のセキュリティ欠陥の修正を含む。 iida さん情報ありがとうございます。

追記

Fermat Attack on RSA (2022.03.15)

 CVE-2022-26351 は REJECT された。CVE-2022-26320 と重複しているから、だそうだ。原因は同じく「Basic Crypto Module of the Safezone library by Rambus」にあると。

 CVE-2022-26351 の REJECT にあわせて Fermat Attack on RSA の記述も修正されている。


2022.03.15

Fermat Attack on RSA
(Hanno Böck, 2022.03.15)

 RSA 暗号は「桁数の大きな素数 2 つ」を掛けあわせた数を素因数分解することが困難であることに基づいているが、「桁数の大きな素数 2 つ」の値が近い場合、フェルマーの素因数分解アルゴリズム によって解けてしまう。そのような実例を発見してしまった、という話。

 iida さん情報ありがとうございます。

2022.03.16 追記:

 CVE-2022-26351 は REJECT された。CVE-2022-26320 と重複しているから、だそうだ。原因は同じく「Basic Crypto Module of the Safezone library by Rambus」にあると。

 CVE-2022-26351 の REJECT にあわせて Fermat Attack on RSA の記述も修正されている。

Apple 方面 (iOS / ipadOS, watchOS, tvOS, macOS, Xcode, Logic Pro X, GarageBand, iTunes for Windows)
(Apple, 2022.03.14)

 iTunes for Windows だけ 3 月 8 日付で出てました。他は 14 日付。


2022.03.14


2022.03.11


2022.03.10

「Illustrator」と「After Effects」に致命的な脆弱性 ~Adobeが月例セキュリティ情報を発表 「Photoshop」も対象
(窓の杜, 2022.03.09)

Photoshop

Illustrator

After Effects

追記

Easily exploitable Linux bug gives root access to attackers (CVE-2022-0847) (2022.03.09)

 Raspberry Pi OS については raspberrypi-kernel 1.20220308-2 (bullseye) / 1.20220308~buster-1 (buster) で対応されたようです。 中身は 5.10.103 です。


2022.03.09

Easily exploitable Linux bug gives root access to attackers (CVE-2022-0847)
(helpnetsecurity.com, 2022.03.08)

 Linux Kernel 5.8 以降に欠陥。 local user が root 権限を奪取できる欠陥 Dirty Pipe が存在。 CVE-2022-0847

 Linux Kernel 5.16.11 / 5.15.25 / 5.10.102 で修正。

2022.03.10 追記:

 Raspberry Pi OS については raspberrypi-kernel 1.20220308-2 (bullseye) / 1.20220308~buster-1 (buster) で対応されたようです。 中身は 5.10.103 です。

いろいろ (2022.03.09)
(various)

APC Smart-UPS + Network Management Card

Android

HP UEFI ファームウェア

2022 年 3 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.03.09)

 出ました。リリースノートセキュリティ更新プログラム ガイド

 Critial が 3 件:

 Publicly disclosed は 3 件:

 関連:

 今のところ、大きな副作用は確認されていないようです。

2022.03.25 追記:

 Microsoft、特定のBluetooth機器に起因するブルースクリーン問題を解決【3月24日追記】  2022年1月のプレビューパッチ「KB5009596」以降を適用の一部Windows 10デバイスで発生 (窓の杜, 2022.03.22)。 2022年3月のプレビューパッチで修正されているそうで。 当該不具合に遭遇している場合はお試しあれ。

Firefox 98.0 / ESR 91.7.0、Firefox for Android 98 公開
(Mozilla, 2022.03.08)

 出ました。セキュリティ修正を含みます。


2022.03.08


2022.03.07

追記

Firefox 97.0 / ESR 91.6.0、Firefox for Android 97、Thunderbird 91.6.0 公開 (2022.02.16)

 Firefox 97.0.2 / ESR 91.6.1、Firefox for Android 97.3.0、 Thunderbird 91.6.2 が公開されています。 セキュリティ修正を含みます。

いろいろ (2022.03.07)
(various)

NVIDIA コード署名証明書 (流出、失効済み)

  • NVIDIAから署名付き証明書データが流出しNVIDIA製ドライバーになりすましたマルウェアが複数登場 (gigazine, 2022.03.07)

    そして2022年3月4日には、セキュリティ研究者のBill Demirkapi氏が流出データの中にWindows向けドライバーの署名に利用可能なコード署名証明書が2つ含まれていたことを明らかにしました
    上記のコード署名証明書はどちらも有効期限が切れていますが、Windowsはコード署名証明書の有効期限が切れていてもドライバーのインストールを許可するとのこと。このため、攻撃者が流出したコード署名証明書をマルウェアに付与した場合、WindowsはマルウェアをNVIDIA製ドライバーと認識してインストールしてしまいます。
  • NVIDIAから流出した証明書を使用したマルウェアが出回っている (TEXAL, 2022.03.06)

    また、その後のツイートで、Windowsは「2015年7月29日以前に発行された証明書で署名されたドライバをタイムスタンプなしで受け入れる」仕様になっている事を付け加えて警告している。MicrosoftのWindowsドライバー署名ポリシーはこれを裏付けるもので、OSは「サポートされるクロス署名CAにチェーンする2015年7月29日より前に発行されたエンドエンティティ証明書で署名された」ドライバーを実行すると述べている。今回流出したNVIDIAの証明書は、まさにそのような存在で、2014年に有効期限が切れており、この証明書で署名されたコードは、正しい条件下では、証明書の有効期限が切れていても、Windowsに受け入れられてしまうのだ。
  • ドライバーの署名のプロパティ (Microsoft)


2022.03.04

Chrome Stable Channel Update for Desktop
(Google, 2022.03.01)

 Chrome 99.0.4844.51 が stable に。28 件のセキュリティ修正を含む。

 関連: Google Chrome 99安定版リリース、CSSの優先順位を分かりやすく指定できるカスケードレイヤーをサポート開始 (gigazine, 2022.03.02)


2022.03.03


2022.03.02

追記

OpenSSL Security Advisory [28 January 2022] (2022.02.02)

 WinSCP 5.19.6 (hotfix) (WinSCP, 2022.02.22)。OpenSSL 1.1.1m、Expat 2.4.6。 iida さん情報ありがとうございます。


[セキュリティホール memo]
[私について]