セキュリティホール memo - 2022.11

Last modified: Tue Jul 18 13:54:44 2023 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2022.11.30

いろいろ (2022.11.30)
(various)

VLC Media Player

Chrome Stable Channel Update for Desktop
(Google, 2022.11.29)

 Chrome 108.0.5359.71 (Mac/linux) および 108.0.5359.71/72 (Windows) が stable に。 28 件のセキュリティ修正を含む。

追記

Firefox 107.0 / ESR 102.5.0、Firefox for Android 107、Thunderbird 102.5.0 公開 (2022.11.16)

 Firefox 107.0.1 出ました。セキュリティ修正は含みません。


2022.11.29


2022.11.28

Chrome Stable Channel Update for Desktop
(Google, 2022.11.24)

 Chrome 107.0.5304.121 for Mac / Linux、 Chrome 107.0.5304.121/.122 for Windows 公開。 0-day 欠陥 CVE-2022-4135 が修正されている。

追記

2022 年 11 月のセキュリティ更新プログラム (月例) (2022.11.09)

 2022年11月のパッチで「lsass.exe」にメモリリーク ~Windows Serverの一部バージョンで  Microsoftが回避策を案内 (窓の杜, 2022.11.25)、 Windows Serverにメモリリークの不具合。サーバーが応答しなくなったり再起動が発生。2022年11月9日以降のWindowsUpdateに起因 (ニッチなPCゲーマーの環境構築Z, 2022.11.28)

当面の回避策としては、以下のコマンドを実行してレジストリキー「KrbtgtFullPacSignature」を「0」に設定するのが有効。 ただし、この問題が解決され次第、「KrbtgtFullPacSignature」をより高い値へ戻す必要がある。

2022.11.24

いろいろ (202.11.24)
(various)

iTerm2

  • Stable Releases (iterm2.com)。2022.11.15 に 3.4.18 がリリースされている。

    3.4.18
    - Change DECRQSS response to patch a security hole.
  • CVE-2022-45872

Spotify Backstage (開発ツール)

Ruby cgi gem

2022.11.28 追記:

Zoom (Windows 版 32bit クライアント)

Samba 4.17.3, 4.16.7 and 4.15.12 Security Releases are available for Download
(Samba, 2022.11.15)

 Samba 4.17.3 / 4.16.7 / 4.15.12 公開。1 件のセキュリティ欠陥を修正。


2022.11.22


2022.11.21


2022.11.18


2022.11.17


2022.11.16

Firefox 107.0 / ESR 102.5.0、Firefox for Android 107、Thunderbird 102.5.0 公開
(Mozilla, 2022.11.15)

 出ました。

2022.11.30 追記:

 Firefox 107.0.1 出ました。セキュリティ修正は含みません。

2022.12.02 追記:

 Thunderbird 102.5.1 出ました。セキュリティ修正を含みます。


2022.11.14

複数のUEFI実装に危険な脆弱性 ~最悪の場合バックドアなどが仕込まれたり、システムが起動不能に
(窓の杜, 2022.11.10)

 各社の UEFI 実装に欠陥。TOCTOU による競合状態が発生し、SecureBoot を回避する等の不適切な動作が実行されてしまう。CVE-2021-33164

  Multiple race conditions due to TOCTOU flaws in various UEFI Implementations - Vulnerability Note VU#434994 (US-CERT, 2022.11.11 更新) によると、現時点では AMI / DELL / HP / Insyde / Intel が影響ありとされている。 AMI や Insyde の製品を採用している PC ベンダーは影響を受ける可能性がある。 たとえば Insyde だと、以前にはこういう話があった。

 一方で AMD / 東芝 / Phoenix は影響なしとされている。

Apple 方面 (iOS / iPadOS, macOS)
(Apple, 2022.11.09)

 libxml2 の欠陥 2 件 CVE-2022-40303 CVE-2022-40304 を修正。


2022.11.11


2022.11.10


2022.11.09

2022 年 11 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.11.09)

 Microsoft 2022.11 月例更新出ました。

 0-day は 4 件。

 Sysinternals は sysmon 。

 Exchange 0-day にようやく対応。

 Windows Kerberos RC4-HMAC Elevation of Privilege Vulnerability CVE-2022-37966 (Microsoft, 2022.11.08) への対応は、プロトコルの変更を伴うそうです。

 あと手動での対応が必要となる (patch を適用しただけでは穴は塞がらない) のが 2 件。

 関連:

2022.11.14 追記:

 exFAT で権限上昇、なんてのが含まれているんですね。

2022.11.28 追記:

 2022年11月のパッチで「lsass.exe」にメモリリーク ~Windows Serverの一部バージョンで  Microsoftが回避策を案内 (窓の杜, 2022.11.25)、 Windows Serverにメモリリークの不具合。サーバーが応答しなくなったり再起動が発生。2022年11月9日以降のWindowsUpdateに起因 (ニッチなPCゲーマーの環境構築Z, 2022.11.28)

当面の回避策としては、以下のコマンドを実行してレジストリキー「KrbtgtFullPacSignature」を「0」に設定するのが有効。 ただし、この問題が解決され次第、「KrbtgtFullPacSignature」をより高い値へ戻す必要がある。

2022.12.09 追記:

 不具合情報。

 今のところ、確実な対応方法はアンインストールしかない模様。

 あと、修正された欠陥 Windows Scripting Languages Remote Code Execution Vulnerability CVE-2022-41128 の解説:

2023.04.10 追記:

 Windows Kernel Elevation of Privilege Vulnerability CVE-2022-38038 (Microsoft) への対応が、2023.04.11 (US 日付、次回の Windows Update の日) に「初期適用フェーズ」に入る。

2023.07.18 追記:

 CVE-2022-38023 方面。

追記

Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス (2022.10.04)

 2022 年 11 月のセキュリティ更新プログラム (月例) (Microsoft, 2022.11.09) で更新プログラムが提供されました。

Chrome Stable Channel Update for Desktop
(Google, 2022.11.08)

 Chrome 107.0.5304.110 (Mac/Linux) および 107.0.5304.106/.107 (Windows) 公開。10 件のセキュリティ修正を含む。 (バージョン番号修正: iida さん情報ありがとうございます)


2022.11.08

いろいろ (2022.11.08)
(various)

Android


2022.11.07

いろいろ (2022.11.07)
(various)

WebKitGTK / WPE WebKit

ClamAV

NTFS-3G

追記

いろいろ (2022.11.03) Node.js

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)


2022.11.04

いろいろ (2022.11.04)
(various)

Apple Xcode

Splunk Enterprise

  • Splunk Product Security (Splunk)。Quarterly Security Patch Updates として 2022.11.02 に Splunk Enterprise の欠陥が多数公開されている。

Veritas NetBackup

追記

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)

 Firefox 106.0.4 が公開されています。結局、まともにテストしてないってことなの?


2022.11.03

追記

Firefox 106.0 / ESR 102.4.0、Firefox for Android 106、Thunderbird 102.4.0 公開 (2022.10.20)

 Firefox 106.0.3 が公開されています。

Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起 (2022.10.11)

 Fortinet社製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査 (マクニカネットワークス セキュリティ研究センターブログ, 2022.10.14)

いろいろ (2022.11.03)
(various)

Node.js

  • Nov 3 2022 Security Releases (Node.js, 2022.11.01)。明日公開予定。 セキュリティ修正 1 件 (medium) + OpenSSL 3.0.7 対応。

2022.11.07 追記:

PHP, Python (Keccak XKCP SHA-3 参照実装)

Apache Tomcat

京セラ 複合機・プリンター

  • 京セラ製複合機・プリンターのセキュリティー脆弱性について (京セラ, 2022.11.01)。京セラの複数の複合機・プリンターに組み込まれている Web サーバー Command Center に 3 件の欠陥。 保守担当業社から修正版ファームウェアを入手できるようだ。

    当該の複合機のカタログを見ると、 対応 OS が「Windows XP/Vista/7/8、Server2003/ Server2008/ Server2008 R2/ Server2012、Mac OS X(10.2~)」とか書かれているので、 いずれもかなり古い機種のようだ。 Command Center のマニュアル (pa-solution.net) も (C) 2006-2009 となっているし。 最近の機種には Command Center ではなく Command Center RX が載っているみたい。

Jupyter Notebooks for Azure Cosmos DB


2022.11.02

OpenSSL Security Advisory [01 November 2022]
(oss-sec ML, 2022.11.01)

 OpenSSL 3.0.7 公開。2 件のセキュリティ欠陥が修正されている。

 いずれの欠陥も OpenSSL 1.0.2 / 1.1.1 系列には影響しない。

 関連:


[セキュリティホール memo]
[私について]