セキュリティホール memo - 2022.10

Last modified: Fri Jul 22 11:32:14 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2022.10.31

追記

2022 年 10 月 のセキュリティ更新プログラム (月例) (2022.10.18)

 不具合情報:

Apple 方面 (iOS / iPadOS、tvOS、watchOS、macOS、Safari) (2022.10.26)

 iOS / iPadOS 15.7.1 が公開されました。 iPhone 6 / 7 / SE (第1世代) など、 iOS 16 にアップグレードできない機種に適用してください。

いろいろ (2022.10.31)
(various)

VMware Cloud Foundation

Nextcloud

Wireshark

  • Wireshark 3.6.9 Release Notes (Wireshark, 2022.10.26)。2 件のセキュリティ修正を含む。

    同日に Wireshark 4.0.1 も公開されているが、こちらはセキュリティ修正を含まないようだ。

Chrome Stable Channel Update for Desktop
(Google, 2022.10.27)

 Chrome 107.0.5304.87 (Mac / Linux 版) および 107.0.5304.87/88 (Windows 版) 公開。0-day 欠陥 1 件 CVE-2022-3723 が修正されている。


2022.10.27

いろいろ (2022.10.27)
(various)

Zoom Client for Meetings

Joomla!

curl

Git

なでしこ3

追記

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)

 Firefox 106.0.2 が公開されています。

 Thunderbird 102.4.1 も公開されました。

Apple 方面 (iOS / iPadOS、tvOS、watchOS、macOS、Safari) (2022.10.26)

 CVE-2022-32946 (Core Bluetooth の欠陥、アプリが許諾なしで AirPods を使ってオーディオを録音できる可能性がある) の解説:

Samba 4.17.2, 4.16.6 and 4.15.11 Security Releases are available for Download
(Samba, 2022.10.26)

 Samba 4.17.2 / 4.16.6 / 4.15.11 公開。2 件のセキュリティ欠陥を修正。

 https://www.samba.org/samba/history/security.html で patch も配布されている。

 関連:


2022.10.26

CVE-2022-42889(別名Text4shell)の検出と緩和策
(清水 孝郎 / sysdig, 2022.10.19)

 Apache Commons Text 1.5〜1.9 に欠陥。StringSubstitutor インターポレータークラスに欠陥があり、 攻略リクエストにより remote から任意のコードを実行できる。 iida さん情報ありがとうございます。 CVE-2022-42889

しかし、この脆弱性は、以前の log4shell や spring4shell のような影響を与えるとは思えません。

脆弱性のあるコンポーネントを見ると、悪用される可能性があるのは、Apache Commons Textライブラリの使用に関連しています。具体的には、StringSubstitutorオブジェクトを何らかのユーザー制御の入力で実装している場合のみ悪用が可能です。本番環境でのこの実装は、Log4jの脆弱な文字列置換ほど一般的ではありません。したがって、Text4Shellの大規模な影響は、Log4Shellとあまり比較になりません。

 とはいえ、上記に合致する場合にはヤバいのだろう。

 Apache Commons Text 1.10 で修正されている。

 関連:

Apple 方面 (iOS / iPadOS、tvOS、watchOS、macOS、Safari)
(Apple, 2022.10.24)

 そういえば、昨日出てましたね。

2022.10.27 追記:

 CVE-2022-32946 (Core Bluetooth の欠陥、アプリが許諾なしで AirPods を使ってオーディオを録音できる可能性がある) の解説:

2022.10.31 追記:

 iOS / iPadOS 15.7.1 が公開されました。 iPhone 6 / 7 / SE (第1世代) など、 iOS 16 にアップグレードできない機種に適用してください。

追記

いろいろ (2022.10.12) OpenSSL

OpenSSL 3.0.7 の公開予告がされています: Forthcoming OpenSSL Releases (OpenSSL, 2022.10.25)。2022.11.01 1300-1700 UTC だそうです。 iida さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
(Google, 2022.10.25)

 Chrome 107.0.5304.62 (Mac)、107.0.5304.68 (linux)、107.0.5304.62/63 (Windows) が stable に。 14 件のセキュリティ修正を含む。


2022.10.25

Oracle Critical Patch Update Advisory - October 2022
(Oracle, 2022.10.18)

 Oracle 2022 年第 4 半期定例 patch 出てます。 VirtualBox 6.1.40 / 7.0.0、 Java SE 8u351 / 11.0.17 / 17.0.5 / 19.0.1 など。


2022.10.24

追記

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)


2022.10.21


2022.10.20

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開
(Mozilla, 2022.10.18)

 出ました。

2022.10.24 追記:

 Firefox 106.0.1 が公開されています。

2022.10.27 追記:

 Firefox 106.0.2 が公開されています。

 Thunderbird 102.4.1 も公開されました。

2022.11.03 追記:

 Firefox 106.0.3 が公開されています。

2022.11.04 追記:

 Firefox 106.0.4 が公開されています。結局、まともにテストしてないってことなの?

2022.11.07 追記:

 Firefox 106.0.5、Thunderbird 102.4.2 が公開されています。


2022.10.19


2022.10.18

いろいろ (2022.10.18)
(various)

各社ネットワーク製品の Layer 2 セキュリティ制御

Adobe ColdFusion / Acrobat and Reader / Commerce / Dimension

Android

Django

Apache Tomcat

2022 年 10 月 のセキュリティ更新プログラム (月例)
(Microsoft, 2022.10.12)

 書くのが遅すぎる件。

 0-day は 2 件:

 特記事項:

 不具合情報:

 関連:

2022.10.31 追記:

 不具合情報:


2022.10.17


2022.10.14

追記

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 (2022.10.11)

 JPCERT/CC Alert が更新されている: Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 (JPCERT/CC, 2022.10.14 更新)

2022年10月13日(現地時間)、本脆弱性の詳細を解説する記事や実証コード(Proof-of-Concept)が公開されています。脆弱性を悪用し、管理者ユーザーとして認証を行うためのSSH公開鍵認証の設定を追加する方法が解説されています。今後、本脆弱性を悪用する攻撃が増加する可能性があるため、Fortinet が提供する情報をご確認の上、速やかな対策や回避策の適用および調査の実施を推奨します。

2022.10.13

追記

いろいろ (2022.10.12) OpenSSL

OpenSSL 3.0.6 で不具合発生だそうで: Withdrawal of OpenSSL 3.0.6 and 1.1.1r (OpenSSL, 2022.10.12)。OpenSSL 3.0.7 がまもなく公開される予定だそうです。 iida さん情報ありがとうございます。


2022.10.12

いろいろ (2022.10.12)
(various)

OpenSSL

Python

LibreOffice

Chrome Stable Channel Update for Desktop
(Google, 2022.10.11)

 Chrome 106.0.5249.119 公開。6 件のセキュリティ修正を含む。


2022.10.11

About the security content of iOS 16.0.3
(Apple, 2022.10.10)

 iOS 16.0.3 公開。Mail が攻略電子メールにより DoS 状態になる欠陥 CVE-2022-22658 が修正されているそうです。

追記

Firefox 105.0 / ESR 102.3.0、Firefox for Android 105 公開 (2022.09.21)

 Firefox 105.0.3 公開。Avast / AVG 環境でのクラッシュに対応。

  • Firefox 105.0.3 がリリースされた (mozillaZine, 2022.10.08)

    Windows: Avast あるいは AVG のアンチウイルスソフトをインストールした環境で頻繁にクラッシュする問題を修正 (bug 1794064)
  • Avast/AVGが原因で「Firefox」のクラッシュが多発 ~「Firefox 105.0.3」で緊急対応 (窓の杜, 2022.10.11)

    これはアンチウイルスソフト「Avast」や「AVG」のDLLに起因する問題で、MozillaのWindows用ツールに同梱されているMercurial実行可能ファイルがランサムウェアと判定されてしまっていたようだ。
     開発チームによると、当該DLLをブロックリストに追加することで問題は軽減されたとのこと。これを機に「Avast」「AVG」のアンインストールも検討してほしいとしている。

    お、ぉぅ。

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
(JPCERT/CC, 2022.10.11)

 オリジナル: FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface (Fortinet, 2022.10.10)

 Fortinet FortiOS / FortiProxy / FortiSwitchManager に 0-day 欠陥。 攻略 HTTP / HTTPS リクエストにより認証機構を回避できるため、 管理インターフェイスに対して remote から無認証で任意の操作を実施できる。 CVE-2022-40684

 欠陥があるのは、FortiOS 7.2.0〜7.2.1 / 7.0.0 〜 7.0.6、 FortiProxy 7.2.0 / 7.0.0 〜 7.0.6、 FortiSwitchManager 7.2.0 / 7.0.0。

 FortiOS 7.2.2 / 7.0.7、 FortiProxy 7.2.1 / 7.0.7、 FortiSwitchManager 7.2.1 で修正されている。 また、HTTP/HTTPS 管理インターフェイスを無効化することで回避できる。 FortiOS / FortiProxy の HTTP/HTTPS 管理インターフェイスに対しては、 IP アドレスによるアクセス制限を設定することも可能。 無効化 / アクセス制限の設定方法は FortiOS / FortiProxy / FortiSwitchManager - Authentication bypass on administrative interface (Fortinet) を参照。 FortiSwitchManager の HTTP/HTTPS 管理インターフェイスに対しては、 IP アドレスによるアクセス制限は設定できないみたい。

2022.10.14 追記:

 JPCERT/CC Alert が更新されている: Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 (JPCERT/CC, 2022.10.14 更新)

2022年10月13日(現地時間)、本脆弱性の詳細を解説する記事や実証コード(Proof-of-Concept)が公開されています。脆弱性を悪用し、管理者ユーザーとして認証を行うためのSSH公開鍵認証の設定を追加する方法が解説されています。今後、本脆弱性を悪用する攻撃が増加する可能性があるため、Fortinet が提供する情報をご確認の上、速やかな対策や回避策の適用および調査の実施を推奨します。

2022.11.03 追記:

 Fortinet社製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査 (マクニカネットワークス セキュリティ研究センターブログ, 2022.10.14)


2022.10.10


2022.10.07


2022.10.06

追記

Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス (2022.10.04)

 Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server (Microsoft) が更新されている。URL 書きかえパターン、書きかえ手順が変更されているので、 設定スクリプトを使用している場合、 手動で適用している場合は参照されたい。


2022.10.05


2022.10.04

Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス
(Microsoft, 2022.10.02 更新)

 Exchange 2013 / 2016 / 2019 に 2 件の 0-day 欠陥。

 修正プログラムはまだない。 CVE-2022-41040 については、 既知の攻撃に対する回避方法が示されている。

 ただし、Microsoft が示している回避策は不適切であり突破できる、との指摘がある。

 関連:

2022.10.06 追記:

 Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server (Microsoft) が更新されている。URL 書きかえパターン、書きかえ手順が変更されているので、 設定スクリプトを使用している場合、 手動で適用している場合は参照されたい。

2022.11.09 追記:

 2022 年 11 月のセキュリティ更新プログラム (月例) (Microsoft, 2022.11.09) で更新プログラムが提供されました。


2022.10.03

PHP 7.4.32 / 8.0.24 / 8.1.11 公開
(PHP.net, 2022.09.30)

 PHP 7.4.32 / 8.0.24 / 8.1.11 公開されました。PHP 7.4.31 は欠番になったようです。 CVE-2022-31628 CVE-2022-31629 を修正。

Chrome Stable Channel Update for Desktop
(Google, 2022.09.30)

 Chrome 106.0.5249.91 公開。3 件のセキュリティ修正を含む。


[セキュリティホール memo]
[私について]