セキュリティホール memo

Last modified: Tue Oct 4 17:51:15 2022 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2022.10.04

Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス
(Microsoft, 2022.10.02 更新)

 Exchange 2013 / 2016 / 2019 に 2 件の 0-day 欠陥。

 修正プログラムはまだない。 CVE-2022-41040 については、 既知の攻撃に対する回避方法が示されている。

 ただし、Microsoft が示している回避策は不適切であり突破できる、との指摘がある。

 関連:


2022.10.03

PHP 7.4.32 / 8.0.24 / 8.1.11 公開
(PHP.net, 2022.09.30)

 PHP 7.4.32 / 8.0.24 / 8.1.11 公開されました。PHP 7.4.31 は欠番になったようです。 CVE-2022-31628 CVE-2022-31629 を修正。

Chrome Stable Channel Update for Desktop
(Google, 2022.09.30)

 Chrome 106.0.5249.91 公開。3 件のセキュリティ修正を含む。


2022.09.30


2022.09.29

Chrome Stable Channel Update for Desktop
(Google, 2022.09.27)

 Chrome 106.0.5249.61 (Mac / Linux 版) および 106.0.5249.61/62 (Windows 版) が stable に。 20 件のセキュリティ修正を含む。

いろいろ (2022.09.29)
(various)

Drupal

Unbound

  • Unboundの脆弱性情報が公開されました(CVE-2022-3204) (JPRS, 2022.09.27)。Unbound 1.16.3 で修正されている。

    関連: https://nlnetlabs.nl/downloads/unbound/CVE-2022-3204.txt (nlnetlabs.nl, 2022.09.21)

    A vulnerability named 'Non-Responsive Delegation Attack' (NRDelegation Attack) has been discovered in various DNS resolving software.
    (中略)
    The NRDelegation Attack can exploit resolvers by having a malicious delegation with a considerable number of non responsive nameservers. It can trigger high CPU usage in some resolver implementations that continually look in the cache for resolved NS records in that delegation. This can lead to degraded performance and eventually denial of service in orchestrated attacks.

    Unbound does not suffer from high CPU usage, but resources are still needed for resolving the malicious delegation. Unbound 1.16.3 includes fixes for better performance when under load.

Knot Resolver

Trend Micro Deep Security Agent / Cloud One - Workload Security Agent

WebKitGTK / WPE WebKit


2022.09.28


2022.09.27

いろいろ (2022.09.27)
(various)

Node.js

  • 「Node.js」にセキュリティ更新 ~深刻度「High」2件を含む6件の脆弱性に対処 (窓の杜, 2022.09.26)。 Node.js 14.20.1 / 16.17.1 / 18.9.1 で修正されている。また CVE-2022-35255 に関して、

    Weak randomness in WebCrypto keygen (High) (CVE-2022-35255)

    Node.js made calls to EntropySource() in SecretKeyGenTraits::DoKeyGen() in src/crypto/crypto_keygen.cc. However, it does not check the return value, it assumes EntropySource() always succeeds, but it can (and sometimes will) fail.

    Thank you, Ben Noordhuis for reporting (and fixing!) this vulnerability.

    Impacts:

    • All versions of the 18.x and 16.x release lines.

    こういう欠陥なので、 WebCrypto.subtle.generateKey() で生成した全ての鍵について、再発行することが推奨されている。


2022.09.26

いろいろ (2022.09.26)
(various)

Foxit PDF Reader

Squid

 いずれも Squid 5.7 で修正されている。また Squid 4 / 5 用の patch が用意されている。


2022.09.22


2022.09.21

ISC has disclosed six vulnerabilities in BIND (CVE-2022-2795, CVE-2022-2881, CVE-2022-2906, CVE-2022-3080, CVE-2022-38177, CVE-2022-38178)
(oss-sec ML, 2022.09.21)

 BIN3 9.16.33 / 9.18.7 / 9.19.5 が公開されています。 セキュリティ修正を含みます。

On 21 September 2022 we (Internet Systems Consortium) disclosed six vulnerabilities affecting our BIND 9 software:

- CVE-2022-2795: Processing large delegations may severely degrade resolver performance https://kb.isc.org/docs/cve-2022-2795
- CVE-2022-2881: Buffer overread in statistics channel code https://kb.isc.org/docs/cve-2022-2881
- CVE-2022-2906: Memory leaks in code handling Diffie-Hellman key exchange via TKEY RRs (OpenSSL 3.0.0+ only) https://kb.isc.org/docs/cve-2022-2906
- CVE-2022-3080: BIND 9 resolvers configured to answer from stale cache with zero stale-answer-client-timeout may terminate unexpectedly https://kb.isc.org/docs/cve-2022-3080
- CVE-2022-38177: Memory leak in ECDSA DNSSEC verification code https://kb.isc.org/docs/cve-2022-38177
- CVE-2022-38178: Memory leaks in EdDSA DNSSEC verification code https://kb.isc.org/docs/cve-2022-38178

 CVE-2022-38177 は BIND 9.16 まで。CVE-2022-2881 / CVE-2022-2906 は BIND 9.18 以降。

 CVE-2022-2795、CVE-2022-2881 は Medium / Remotely、 CVE-2022-2906、CVE-2022-3080、CVE-2022-38177、CVE-2022-38178 は High / Remotely。

Firefox 105.0 / ESR 102.3.0、Firefox for Android 105 公開
(Mozilla, 2022.09.20)

 出ました。

追記

Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開 (2022.08.25)

 Thunderbird 91.13.1 が公開されています。セキュリティ修正を含みます。


2022.09.20


2022.09.16


2022.09.15

Chrome Stable Channel Update for Desktop
(Google, 2022.09.14)

 Chrome 105.0.5195.125 (Mac 版 / Linux 版) および 105.0.5195.125/126/127 (Windows 版) 公開。 11 件のセキュリティ修正を含む。

追記

Apple 方面 (iOS / iPadOS 15.7, iOS 16, macOS 12.6 / 11.7, Safari 16) (2022.09.13)

2022 年 9 月のセキュリティ更新プログラム (月例) (2022.09.14)

 「ロール: DNS サーバー」はこちら。DoS だそうです。

 Microsoft Office はこちら。Mac 版も対象です。


2022.09.14

「Photoshop」「Illustrator」「InDesign」などに深刻度最大「Critical」の脆弱性
(窓の杜, 2022.09.14)

 Adobe Experience Manager / Bridge / InDesign / Photoshop / InCopy / Animate / Illustrator が対象だそうです。いずれも Priority: 3。

いろいろ (2022.09.14)
(various)

WPGateway (Wordpress プラグイン)

2022 年 9 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.09.14)

 出ました。 2022 年 9 月のセキュリティ更新プログラム より、対象一覧:

 0-day は 2 件、内 1 件は攻略プログラムも出回っている。

 Critical は 5 件:

 Service Stack Update (SSU):

 関連:

2022.09.15 追記:

 「ロール: DNS サーバー」はこちら。DoS だそうです。

 Microsoft Office はこちら。Mac 版も対象です。

2022.09.27 追記:

 不具合情報:


2022.09.13

アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)
(トレンドマイクロ, 2022.09.13)

 トレンドマイクロ Trend Micro Apex One 2019 および Apex One SaaS に、0-day を含む複数のセキュリティ欠陥。管理コンソールにログインできる攻撃者が任意のコードを実行できる、ログイン認証を回避できる、等の影響がある。

 Trend Micro Apex One 2019 Service Pack 1 (build 11092)、 および Apex One SaaS 8月メンテナンスで修正されている。

参照情報

Trend Micro's Zero Day Initiative Published Advisories :
・ZDI-CAN-16314
・ZDI-CAN-16691
・ZDI-CAN-16435

JPCERT/CC および Japan Vulnerability Notes (JVN) :
・JVN#36454862

 関連:

Apple 方面 (iOS / iPadOS 15.7, iOS 16, macOS 12.6 / 11.7, Safari 16)
(Apple, 2022.09.12)

 0-day ではないようです。 Kernel の欠陥 CVE-2022-32917 が 0-day でした。

 watchOS 9 と tvOS 16 も公開されており、どうやらセキュリティ修正を含みそう。 https://support.apple.com/en-us/HT201222 では「details available soon」となっています。

2022.09.15 追記:

 iOS 16 不具合事例:


2022.09.12

いろいろ (2022.09.12)
(various)

Cisco Meraki MR シリーズ

Wireshark


2022.09.09


2022.09.08


2022.09.07

いろいろ (2022.09.07)
(various)

Android

追記

Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開 (2022.08.25)

 Firefox 104.0.2 が公開されています。セキュリティ修正はありません。


2022.09.06


2022.09.05

追記

Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開 (2022.08.25)

 Thunderbird 102.2.1 公開。セキュリティ修正を含みます。

Chrome Stable Channel Update for Desktop
(Google, 2022.09.02)

 Chrome 105.0.5195.102 公開。0-day 欠陥 CVE-2022-3075 を修正。

[$TBD][1358134] High CVE-2022-3075: Insufficient data validation in Mojo. Reported by Anonymous on 2022-08-30

2022.09.02

いろいろ (2022.09.02)
(various)

WordPress


2022.09.01

追記

Apple 方面 (iOS / iPadOS 15.6.1, macOS 12.5.1, Safari 15.6.1) (2022.08.19)

 iOS 12.5.6 公開。 CVE-2022-32893 を修正。CVE-2022-32894 は iOS 12.5.6 には影響しないそうで。


過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]