セキュリティホール memo - 2023.12

Last modified: Tue May 2 13:12:48 2023 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2023.12.28

CVE-2023-51385, CVE-2023-6004: OpenSSH, libssh: Security weakness in ProxyCommand handling
(oss-sec ML, 2023.12.26)

 OpenSSH 9.6 で修正された、この件:

ssh(1): if an invalid user or hostname that contained shell metacharacters was passed to ssh(1), and a ProxyCommand, LocalCommand directive or "match exec" predicate referenced the user or hostname via %u, %h or similar expansion token, then an attacker who could supply arbitrary user/hostnames to ssh(1) could potentially perform command injection depending on what quoting was present in the user-supplied ssh_config(5) directive.

This situation could arise in the case of git submodules, where a repository could contain a submodule with shell characters in its user/hostname. Git does not ban shell metacharacters in user or host names when checking out repositories from untrusted sources.

Although we believe it is the user's responsibility to ensure validity of arguments passed to ssh(1), especially across a security boundary such as the git example above, OpenSSH 9.6 now bans most shell metacharacters from user and hostnames supplied via the command-line. This countermeasure is not guaranteed to be effective in all situations, as it is infeasible for ssh(1) to universally filter shell metacharacters potentially relevant to user-supplied commands.

 CVE-2023-51385 として分類されたそうです。同様の欠陥が libssh にもあり、そちらは CVE-2023-6004 だそうです。libssh 0.9.8 / 0.10.6 で修正されています


2023.12.27

追記

SMTP Smuggling (2023.12.25)

 sendmail と exim も:

JVN#23771490 バッファロー製 VR-S1000 における複数の脆弱性
(JVN, 2023.12.26)

 バッファローの法人向け VPN ルーター VR-S1000 (販売終了) に 4 種類の欠陥。

Web 管理画面にログイン可能な攻撃者によって、任意の OS コマンドを実行される - CVE-2023-45741
当該製品のコマンドラインインターフェイスにアクセス可能な攻撃者によって、任意のコマンドを実行される - CVE-2023-46681
当該製品内の特定ユーザのパスワードを解析される - CVE-2023-46711
Web 管理画面にアクセス可能な攻撃者によって、機微な情報を窃取される - CVE-2023-51363

 これ、全部組み合わせると詰む奴だったりするのかな……?

 ファームウェアバージョン 2.42 で修正されているそうですが、 ファームウェアの変更履歴には

Ver.2.42[2023/12/25]

○不具合修正
・L2TP/IPsec接続で、クライアント機器からファイルをアップロードできないことがある問題を修正しました。
・ファイアウォールルールの設定変更が反映されないことがある問題を修正しました。
・本商品の現在の時刻が2013年より前の時刻が設定されている場合、BuffaloダイナミックDNSが正しく動作しない問題を修正しました。
・管理者パスワードに「'」を使用した場合、設定画面にログインできなくなる問題を修正しました。
・MTUサイズ設定でカスタムを選択した際、サイズの値を変更して保存しても表示に反映されない問題を修正しました。
・アクセス制限の脆弱性を修正しました。

「アクセス制限の脆弱性を修正」とあるだけなんですよね……。


2023.12.25

SMTP Smuggling
(postfix.org, 2023.12.24 更新)

 SMTP でも HTTP request smuggling のような攻撃が可能だという SMTP Smuggling - Spoofing E-Mails Worldwide (SEC Consult, 2023.12.18) が発表されたのだが、coordination の失敗により Postfix の開発者に情報が一切渡っていなかった模様。マジか……。

 回避方法:

 修正版として Postfix 3.8.4 / 3.7.9 / 3.6.13 / 3.5.23 が公開されている。 smtpd_forbid_bare_newline = yes を設定することで、 クライアントが“裸の改行”(bare newline) で行を終了すると接続を切断するようになる (デフォルトは no)。

 戸井さん情報ありがとうございます。

2023.12.27 追記:

 sendmail と exim も:

2024.01.12 追記:

 CVE-2023-51766: Exim: SMTP smuggling (oss-sec ML, 2023.12.29)。Exim 4.97.1 で対応。


2023.12.22


2023.12.21

Chrome Stable Channel Update for Desktop
(Google, 2023.12.20)

 Chrome 120.0.6099.129 (Mac / Linux) および Chrome 120.0.6099.129/130 (Windows) 公開。 WebRTC に関する 0-day 欠陥 1 件が修正されている。 CVE-2023-7024

 関連: Chrome for Android Update (Google, 2023.12.20)。Chrome 120 (120.0.6099.144) for Android。

2023.12.22 追記:

 「Chromium」のWebRTCゼロデイ脆弱性、「Microsoft Edge」も1日遅れで対処 (窓の杜, 2023.12.22)。Edge 120.0.2210.91。

追記

いろいろ (2023.11.10) Atlassian Confluence Data Center and Server

2023 年 12 月のセキュリティ更新プログラム (月例) (2023.12.16)

 Windows 11 で Wi-Fi 接続に問題が出ていたそうで。 Known Issue Rollback で対応されたそうです。

 あと CVE 一覧。37 MS CVE + 6 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

Terrapin Attack (2023.12.19)

 関連:


2023.12.20

Firefox 121.0 / ESR 115.6.0、Thunderbird 115.6.0 公開
(Mozilla, 2023.12.19)

 出ました。

2023.12.22 追記:

 関連: ついにAndroid版Firefoxで拡張機能が使用可能に、すでに450種以上のアドオンが利用可能 (gigazine, 2023.12.15)。そういえばそうだったと思って、さっそく ublock origin をインストール。

2024.01.11 追記:

 Firefox 121.0.1、Thunderbird 115.6.1 公開。セキュリティ修正は無いみたい。

追記

Terrapin Attack (2023.12.19)

関連:


2023.12.19

Terrapin Attack
(terrapin-attack.com, 2023.12.18)

 SSH プロトコルに欠陥。ネットワーク層での中間介入 (MitM) を実施でき、かつ特定の暗号プロトコル (ChaCha20-Poly1305 もしくは CBC + Encrypt-then-MAC) を使用した場合に、 SSH 通信路の完全性を破ることが可能な模様。 CVE-2023-48795。 iida さん情報ありがとうございます。

To perform the Terrapin attack in practice, we require MitM capabilities at the network layer (the attacker must be able to intercept and modify the connection's traffic). Additionally, the connection must be secured by either ChaCha20-Poly1305 or CBC with Encrypt-then-MAC. However, our scan indicates an extensive adoption of these encryption modes; therefore, Terrapin applies to most real-world SSH sessions.

 対応版 (クライアントとサーバーの両方で対応する必要がある):

2023.12.20 追記:

 関連:

2023.12.21 追記:

 関連:


2023.12.18


2023.12.16

いろいろ (2023.12.16)
(various)

Apache Struts

WordPress

LibreOffice

Go

curl

GIMP

perl

Python Cryptographic Authority

Zoom

Adobe、今年最後の月例セキュリティ更新で211件の脆弱性に対処
(窓の杜, 2023.12.13)

 Adobe Prelude / Illustrator / InDesign / Dimension / Experience Manager / Substance 3D Stager / Substance 3D Sampler / Substance 3D Designer / After Effects。 Priority はいずれも 3。

 2023.12.15 付で Experience Manager Forms の情報も公開された。 Apache Struts の S2-066 に対応したもの。 こちらは Priority 1 なので、可及的速やかに適用を。

2023 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2023.12.12)

 そういえば出てましたね。

 0-day ……というか、ベンダー公開済の既知情報だったものが 1 件。

 関連:

2023.12.21 追記:

 Windows 11 で Wi-Fi 接続に問題が出ていたそうで。 Known Issue Rollback で対応されたそうです。

 あと CVE 一覧。37 MS CVE + 6 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。


2023.12.15


2023.12.13

Chrome Stable Channel Update for Desktop
(Google, 2023.12.12)

 Chrome 120.0.6099.109 (Mac / Linux / Windows) 公開。9 件のセキュリティ修正を含む。 関連:


2023.12.12

Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari)
(Apple, 2023.12.11)

 出てました。iOS / iPadOS 16.7.3・tvOS 17.2・watchOS 10.2 は、 iOS / iPadOS 17.1.2・macOS 14.1.2・Safari 17.1.2 で修正された 0-day CVE-2023-42916 CVE-2023-42917 の修正を含みます。

2023.12.16 追記:

 WebKitGTK and WPE WebKit Security Advisory WSA-2023-0011 (oss-sec ML, 2023.12.05)。 CVE-2023-42916 CVE-2023-42917

2023.12.22 追記:

 WebKitGTK and WPE WebKit Security Advisory WSA-2023-0012 (oss-sec ML, 2023.12.18)。 CVE-2023-42883 CVE-2023-42890

追記

Apple 方面 (iOS / iPadOS, macOS, Safari) (2023.12.06)

 iOS / iPadOS 17.1.2、macOS 14.1.2、Safari 17.1.2 で修正された CVE-2023-42916 CVE-2023-42917 の件、iOS / iPadOS 16.7.3、tvOS 17.2、watchOS 10.2 でも修正されました。


2023.12.11

VU#811862 - Image files in UEFI can be abused to modify boot behavior
(CERT/CC, 2023.12.06)

 UEFI ではカスタムロゴ画像を使えるのだが、

攻略画像ファイルを利用した攻撃が可能、という指摘みたい。

 2023.12.11 現在、VU#811862 では AMI, Insyde, Intel, Phoenix が vulnerable とされている。 Vendor statement:


2023.12.08

いろいろ (2023.12.08)
(various)

Android 各種パスワードマネージャー?

  • AndroidのパスワードマネージャーからWebViewを悪用して資格情報を盗み出せる脆弱性「AutoSpill」が発見される (gigazine, 2023.12.08)。 悪意あるアプリが WebView 経由でパスワードマネージャーからの入力を要求する場合に欠陥がある模様。 アプリそのものには認証情報は渡らないはずだが、実際には渡ってしまうことがあると。

    研究チームのAnkit Gangwal氏は、「モバイルデバイスでお気に入りの音楽アプリにログインしようとして、『GoogleまたはFacebook経由でログイン』というオプションを使用したとします。音楽アプリはWebViewを介してGoogleまたはFacebookのログインページを開きます。パスワードマネージャーが呼び出されて資格情報が自動入力される場合、理想的には、読み込まれたGoogleまたはFacebookページにのみ自動入力する必要があります。しかし、自動入力操作によって、資格情報が誤ってベースアプリに公開される可能性があることがわかりました」と述べています。
    AutoSpillと名付けられたこの脆弱性は、特にベースアプリに悪意がある場合に重大だとのこと。Gangwal氏は、「フィッシングでなくても、GoogleやFacebookなど他のサイト経由でログインするよう求める悪意のあるアプリは、自動的に機密情報にアクセスする可能性があります」と指摘しました。

    原論文に示されている、各アプリの対応状況:

    RESPONSIBLE DISCLOSURE
    We responsibly disclosed our findings to the affected PMs and Android security team on May 31, 2022. As far as the affected PMs are concerned, we received a mixed response. Keepass2Android didn’t respond to us at all. Some PMs (e.g., Keeper) believed that PMs can not do much as autofill capabilities are provided by the Android OS; validating our claim that the responsibility for any credential leakage remains stranded between PMs and the Android system. Other PMs (e.g., 1Password, LastPass) accepted our work as a valid issue and promised to fix it in future releases. On another side, Google has also accepted our work as priority P2 and severity S2. At the time of submitting this paper, we are awaiting an update on the fix release from Google.

追記

Chrome Stable Channel Update for Desktop (2023.12.07)

Firefox 120.0 / ESR 115.5.0、Thunderbird 115.5.0 公開 (2023.11.24)

 そういえば Firefox 120.0.1、Thunderbird 115.5.1 が出てました。 セキュリティ修正はありません。


2023.12.07

Chrome Stable Channel Update for Desktop
(Google, 2023.12.05)

 Chrome 120.0.6099.62 (Linux / Mac) および 120.0.6099.62/.63 (Windows) 公開。 10 件のセキュリティ修正を含む。iida さん情報ありがとうございます (typo についても)。

2023.12.08 追記:

 「Microsoft Edge 120」が正式版に ~すみずみまでサンドボックス化、セキュリティアップ (窓の杜, 2023.12.08)


2023.12.06

Apple 方面 (iOS / iPadOS, macOS, Safari)
(Apple, 2023.11.30)

 そういえば出てましたね。例によって WebKit の 0-day なのだそうで。 CVE-2023-42916 CVE-2023-42917

2023.12.12 追記:

 iOS / iPadOS 17.1.2、macOS 14.1.2、Safari 17.1.2 で修正された CVE-2023-42916 CVE-2023-42917 の件、iOS / iPadOS 16.7.3、tvOS 17.2、watchOS 10.2 でも修正されました。


2023.12.05


2023.12.04


[セキュリティホール memo]
[私について]