セキュリティホール memo - 2022.07

Last modified: Wed Aug 10 18:15:05 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2022.07.29


2022.07.28

Critical Samba bug could let anyone become Domain Admi - patch now!
(Sophos, 2022.07.27)

 Samba 4.16.4 / 4.15.9 / 4.14.14 公開。5 件のセキュリティ欠陥を修正。主に Samba AD がらみ。

As detailed in the latest Samba release notes, there are six CVE-numbered bugs patched, including these five…

…along with this one, which is the most serious of the lot, as you will see immediately from the bug description:

In theory, the CVE-2022-32744 bug could be exploited by any user on the network.

 CVE-2022-32744 は、 Samba AD ユーザーなら誰でも、Administrator アカウントを含む、あらゆるユーザーのパスワード変更要求を偽造できる欠陥だそうで。 Samba AD を利用しているサイトは速やかに更新してください。


2022.07.27

Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開
(Mozilla, 2022.07.26)

 出ました。ESR 91 系列は今回で終了です。

 Thunderbird ですが、

という状況ですので、91.12 は出ないまま 102.0.x へ自動アップグレードされるのでは? と推測しています。

2022.08.02 追記:

 結局 Thunderbird 91.12.0 リリースされたそうで。 でも手元の Thunderbird 91.11.0 は「最新バージョンです」と主張するんですよね。

 Thunderbird 102 系列は 102.1.0 が出ています。

2022.08.08 追記:

 手元の Thunderbird 91.11.0 は 91.12.0 に更新されました。 一方、Thunderbird 102 系列は 102.1.1 が出たそうです。

2022.08.10 追記:

 Thunderbird 102.1.2、Firefox 103.0.2 が公開されています。セキュリティ修正はありません。


2022.07.26

いろいろ (2022.07.26)
(various)

LibreOffice

Moodle

 MSA-22-0015 〜 0020 に対応。

Confluence

  • Questions For Confluence Security Advisory 2022-07-20 (atlassian, 2022.07.20)。 Confluence Server または Confluence Data Center において Questions for Confluence アプリが有効な場合、 管理者権限ユーザー disabledsystemuser が固定されたパスワードで作成されてしまうそうで。

    Questions for Confluence を対策版に更新するか、あるいは手動で disabledsystemuser を削除する。

Cisco Nexus Dashboard 等

  • Cisco Releases Security Updates for Multiple Products (CISA, 2022.07.22)。 2022.07.20 付で Cisco Nexus Dashboard x 4、 Cisco Small Business RV110W / RV130 / RV130W / RV215W ルーター x 1、 Cisco IoT Control Center x 1、 Cisco Identity Services Engine x 1 の advisory が公開されている。

    Cisco Nexus Dashboard は critical x 1、High x 1、Medium x 2。 remote から任意のコマンドを root 権限で実行できる欠陥を含む。


2022.07.25


2022.07.22

Oracle、2022年7月「Critical Patch Update」を実施 ~349件のセキュリティパッチをリリース  「Oracle Java SE」関連で5件、「VirtualBox」で2件の脆弱性に対処
(窓の杜, 2022.07.20)

 出ています。 VirtualBox 6.1.36、Java SE 18.0.2 / 17.0.4 / 11.0.16 / 8u341 / 7u351 など。


2022.07.21

追記

NSO Group 方面 (2021.11.11)

Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari)
(Apple, 2022.07.20)

 出ました。

Chrome Stable Channel Update for Desktop
(Google, 2022.07.19)

 Chrome 103.0.5060.134 公開。11 件のセキュリティ修正を含む。

いろいろ (2022.07.21)
(various)

Drupal

 Drupal 9.4.3 / 9.3.19 / 7.91 で対応。

MiCODUS MV720 GPSトラッカー

Apache Tomcat (examples web application)

サイボウズ Office 10

Juniper 製品


2022.07.20

いろいろ (2022.07.20)
(various)

任天堂 ニンテンドーWi-Fi USBコネクタ、ニンテンドーWi-Fiネットワークアダプタ


2022.07.19

追記

2022 年 7 月のセキュリティ更新プログラム (月例) (2022.07.14)

 Access で不具合発生だそうで:

Apple 方面 (2022.05.18)

 本件で修正されたセキュリティ欠陥の 1 つの詳細解説:


2022.07.18


2022.07.15


2022.07.14

いろいろ (2022.07.14)
(various)

Git, Git for Windows

Intel CPU

lenove ノート PC BIOS

dovecot

Das U-Boot ブートローダー

WebKitGTK / WPE WebKit

「Acrobat」「Photoshop」などに任意コード実行やメモリリークの問題 ~Adobeが月例セキュリティ情報を発表
(窓の杜, 2022.07.13)

 Adobe から RoboHelp、Acrobat / Reader、Character Animator、Photoshop のセキュリティ更新。 Acrobat / Reader は Priority: 2、 その他は Priority: 3。

2022 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.07.13)

 出ました。IIS ありますね。

 悪用あり (0-day):

 悪用される可能性が高い:

 DNS:

 IIS:

 オープンソース:

 SSU も出てます:

 関連:

2022.07.19 追記:

 Access で不具合発生だそうで:

2022.07.25 追記:

 Access の件:

 その他

2022.08.03 追記:

 Microsoft、Windows CSRSS の特権の昇格 CVE-2022-22047 0-day について、オーストリアの民間企業 DSIRF からの攻撃だったと発表:


2022.07.13


2022.07.12


2022.07.11


2022.07.08

追記

Chrome Stable Channel Update for Desktop (2022.07.05)

いろいろ (2022.07.08)
(various)

Android


2022.07.07

追記

NSO Group 方面 (2021.11.11)

 Apple、iOS 16 / iPadOS 16 / macOS Ventura において「ロックダウンモード」を塔載すると発表。

  • Apple、金銭目当ての高度な標的型スパイウェアからユーザーを保護するための業界をリードする取り組みを拡大 (Apple, 2022.07.06)

    ロックダウンモードは、その肩書や活動が原因で、NSO Groupをはじめとする金銭目当ての国家支援型スパイウェアを開発している民間企業による非常に巧妙なデジタル脅威の個人的な標的になるおそれがあるごく少数のユーザーに対し、極めて高度なオプションのセキュリティレベルを提供します。

    NSO Group を名指しですか。

    提供が開始されると、ロックダウンモードは以下の保護を実現します。
    • メッセージ:画像を除く、メッセージへのほとんどの添付ファイルタイプがブロックされます。リンクプレビューなどの一部の機能が無効になります。
    • ウェブ閲覧:Just-In-Time(JIT)コンパイラによるJavaScriptコンパイルなどの一部の複雑なウェブテクノロジーは、ユーザーが信頼できるサイトをロックダウンモードから除外しない限り、無効になります。
    • Appleのサービス:FaceTime通話などの招待やサービスリクエストの受信は、ユーザーが先に呼び出しまたはリクエストを開始者に送信していない限り、ブロックされます。
    • iPhoneがロックされているときは、コンピューターやアクセサリへの有線接続はブロックされます。
    • ロックダウンモードがオンになっている場合は、構成プロファイルをインストールできず、モバイルデバイス管理(MDM)にデバイスを登録することもできません。

    うーん……。これがあれば既知の NSO Group の攻撃は防げていた、ということになっているの?


2022.07.06

OpenSSL Security Advisory [5 July 2022]
(OpenSSL, 2022.07.05)

 2 件来てます。iida さん情報ありがとうございます。

追記

KDDI髙橋社長が「au通信障害」謝罪、現時点で判明している経緯とは (2022.07.04)

 7/4 20 時から2度目の記者会見。

 7/5 15:36 に正常復旧を最終確認。 18 時に3度目の記者会見。

 関連:


2022.07.05

Chrome Stable Channel Update for Desktop
(Google, 2022.07.04)

 Chrome 103.0.5060.114 公開。セキュリティ修正を含む。 CVE-2022-2294: Heap buffer overflow in WebRTC (severity: High) は 0-day。

2022.07.08 追記:

 すでに攻撃が確認されているWebRTCの脆弱性、「Microsoft Edge」でも修正  バージョンがv103.0.1264.49になっているか確認を (窓の杜, 2022.07.07)

いろいろ (2022.07.05)
(various)

サイボウズ Garoon パッケージ版


2022.07.04

メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
(徳丸浩の日記, 2022.07.04)

 おそろしい文字列が登場するのです。こんなのとか……

K管理画面: 社内用決済管理画面。A社アプリのサーバーと同居していた(*1)

 こんなのとか……

自社で実施した脆弱性診断ではXSS脆弱性が検出されていたが、高危険度の脆弱性があるとPCI DSSの審査に通らないため、報告書を改ざんして脆弱性自体をなかったことにした

KDDI髙橋社長が「au通信障害」謝罪、現時点で判明している経緯とは
(ケータイ Watch, 2022.07.03)

 au 通信障害、7/2 01:35 に発生、現在も終息せず 7/4 16 時にようやくほぼ終息。

 今回の障害は、日々のメンテナンスの一環として実施された作業のなかで発生した。
 当初予定されていたのは、古いルーターを新しいルーターへの交換。これにより、トラフィックのルート変更となるなかで、一部の音声通話が不通となってしまった。
 これをきっかけにルーターで障害が起き、約15分、VoLTEでの音声通話が使えなくなった。
 これらの状況を踏まえて、変更を取り消して、ルートを切り戻そうとしたが、アクセスが集中して再接続要求が多発し、全国で輻輳が発生してしまった。

 コアルーターが 15 分止まるだけで、こんなことになってしまうんですね。 「トラフィックのルート変更」が元凶かもですが。 おそろしや。

 関連:

2022.07.06 追記:

 7/4 20 時から2度目の記者会見。

 7/5 15:36 に正常復旧を最終確認。 18 時に3度目の記者会見。

 関連:

2022.07.11 追記:

 関連:

2022.08.02 追記:

 KDDI、社長会見 (2022.07.29) にて返金内容を発表。 3,589万人 (KDDI) + 66万人 (沖縄セルラー) にお詫び返金 200 円、 271万人 (KDDI) + 7万人 (沖縄セルラー) に約款返金として契約料金プランの2日分を返金。 povo2.0 はデータトッピング (1GB/3日間) を進呈。

 MVNO 各社も返金を発表。

 本当の原因。

 関連


2022.07.01

追記

2022 年 6 月のセキュリティ更新プログラム (月例) (2022.06.15)

 Windows Server の NAT 機能に不具合が発生。C リリースで対応済だそうです。

「Microsoft Edge」に特権昇格の脆弱性、サンドボックスが迂回されるおそれ  「Google Chrome」には影響せず
(窓の杜, 2022.07.01)

 Edge 103.0.1264.44 公開。Chrome には含まれない、独自の欠陥 CVE-2022-33680 を修正。


[セキュリティホール memo]
[私について]