セキュリティホール memo

Last modified: Thu May 6 17:08:45 2021 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2021.05.06

DSA-2021-088: Dell Client Platform Security Update for an Insufficient Access Control Vulnerability in the Dell dbutil Driver
(DELL, 2021.05.04)

 DELL のファームウェア更新ユーティリティや、Dell Command Update・Dell Update・Alienware Update・Dell System Inventory Agent・Dell Platform Tags といった通知アプリケーションにおいて使用されている、dbutil_2_3.sys ドライバーに欠陥があり、local user による権限上昇や DoS 攻撃が可能。CVE-2021-21551

 対応手順としては (1) dbutil_2_3.sys の削除 (2) ファームウェア更新ユーティリティ・通知アプリケーションの更新、となる。

  1. 削除については、削除ツール を使用するか、あるいは手動で削除する。 ただし Dell System Inventory Agent を使用している場合は、 実行前にあらかじめ最新版 (2.6.0.0 以降) をダウンロードしておくこと。

  2. ファームウェア更新ユーティリティは、 DSA-2021-088 の Table A にある Windows 10 用は更新版が用意されている。 Windows 7 / 8.1 用については 2021.07.31 に用意される予定。

    Dell Command Update, Dell Update, Alienware Update は自動更新される。

    Dell Platform Tags は 最新版 (4.0.30.0, A04 以降) で対応。

    Dell System Inventory Agent は 最新版 (2.6.0.0 以降) で対応。

 関連:

Firefox 88.0 / ESR 78.10.0、Thunderbird 78.10.0 公開
(Mozilla, 2021.04.19)

 出てました。その後 5/4 付で Firefox 88.0.1 / ESR 78.10.1、Thunderbird 78.10.1 も公開されています。

Apple 方面 (iOS / iPadOS 14.5.1、iOS 12.5.3、watchOS 7.4.1、macOS Big Sur 11.3.1、Safari 14.1)
(Apple, 2021.05.03)

 攻略 Web コンテンツによって任意のコードが実行される WebKit の 0-day 欠陥 4 件 CVE-2021-30661 CVE-2021-30663 CVE-2021-30665 CVE-2021-30666 が修正されています。


2021.04.30

ISC BIND 9の複数の脆弱性に関する注意喚起
(JPCERT/CC, 2021.04.30)

 BIND 9.x に計 3 件のセキュリティ欠陥 (深刻度: 高 (2)、中 (1))。

 BIND 9.11.31 / 9.16.15 で修正されている。 関連:


2021.04.29


2021.04.28

いろいろ (2021.04.28)
(various)

AirDrop

Apple 方面 (iOS / iPadOS 14.5、tvOS 14.5、watchOS 7.4、macOS Big Sur 11.3、macOS セキュリティアップデート 2021-002 Catalina / 2021-003 Mojave、Safari 14.1、Xcode 12.5、iTunes for Windows 12.11.3、Windows 用 iCloud 12.3)
(Apple, 2021.04.22〜)

 出てます。


2021.04.27

Chrome Stable Channel Update for Desktop
(Google, 2021.04.26)

 Chrome 90.0.4430.93 公開。9 件のセキュリティ修正を含む。


2021.04.26

追記

2021 年 4 月のセキュリティ更新プログラム (月例) (2021.04.16)

 patch 提供直後から、一部の Windows 10 バージョン 2004 / 20H2 ユーザーでゲームパフォーマンスの低下が見られていた件、2021.03 patch C 以降で発生していたことを Microsoft が確認。 Known Issue Rollback (KIR) を使って自動対応されるそうです。


2021.04.23

いろいろ (2021.04.23)
(various)

Microsoft Edge

Wireshark

NVIDIA GeForce ドライバー、GeForce Experience

内閣府にサイバー攻撃 サーバーに「ゼロデイ」の痕跡
(朝日, 2021.04.22)

 内閣府・内閣官房・復興庁・個人情報保護委員会が共同利用していた FileZen が攻撃を受け、情報漏洩を招いた件。

 FileZen というと最近、ディレクトリトラバーサルの件と OS コマンドインジェクションの件が公表されていますが、本件はどちらにか該当しているんだろうか。

2021.04.23 追記:

 ソリトンシステムズから、本報道に対応するっぽい情報が公開された。

 新たなセキュリティ欠陥がある、という話ではない模様。 朝日報道が言う 0-day は OS コマンドインジェクションの件、という理解でいいんだろうか。


2021.04.22

Oracle Critical Patch Update Advisory - April 2021
(Oracle, 2021.04.20)

 Oracle 四半期定例 patch 出ました。 Java SE 16.0.1 / 11.0.11 / 8u291、VirtualBox 6.1.20 などが公開されています。

Security Notice: SonicWall Email Security Zero-Day Vulnerabilities
(SonicWall, 2021.04.20)

 SonicWall Email Security 7.0〜10.0.4-Present、SonicWall Hosted Email Security 10.0.1〜10.0.4-Present に 3 件の 0-day 欠陥。 remote から無認証で管理者アカウントを作成できる他、 認証後に任意のファイルの読み出し / アップロードができる。

 SonicWall Email Security 10.0.9.6173 (Windows) / 10.0.9.6177 (Hardware & ESXi Virtual Appliance)、 SonicWall Hosted Email Security 10.0.9.6173 で修正されている。 SonicWall Hosted Email Security は 2021.04.19 に patch が自動適用されている。

 関連: Zero-Day Exploits in SonicWall Email Security Lead to Enterprise Compromise (FireEye, 2021.04.20)

Chrome Stable Channel Update for Desktop
(Google, 2021.04.20)

 Chrome 90.0.4430.85 公開。7 件のセキュリティ修正を含む。内、 CVE-2021-21224 は 0-day だそうで。

 関連: Update Your Chrome Browser ASAP to Patch a Week Old Public Exploit (The Hacker News, 2021.04.21)

追記

Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起 (2021.04.21)

 日本語アドバイザリ: Pulse Connect Secureセキュリティアップデート (ivanti ブログ, 2021.04.22)。Ivanti は Puse Secure の親会社


2021.04.21

Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起
(JPCERT/CC, 2021.04.21)

 Pulse Connect Secure 9.0Rx / 9.1Rx に 0-day 欠陥、外部から無認証で任意のファイルを実行できる。 patch はまだない。緩和策 (Workaround-2104.xml ファイル) が公開されている。ただし Workaround-2014.xml は 9.0R1 〜 9.0R4.1 および 9.1R1 〜 9.1R2 では動かない。 該当する場合、緩和策の適用にはバージョン更新が必要。 また Workaround-2104.xml を適用すると、 Windows File Share Browser と Pulse Secure Collaboration が無効化される。

 関連:

2021.04.22 追記:

 日本語アドバイザリ: Pulse Connect Secureセキュリティアップデート (ivanti ブログ, 2021.04.22)。Ivanti は Puse Secure の親会社


2021.04.20


2021.04.19

いろいろ (2021.04.19)
(various)

NEC Aterm

WhatsApp

追記

アイコンを見るだけでデータが破壊されるNTFSの脆弱性 (2021.01.15)

 Microsoft 2021.04 月例 patch で修正されたそうです。


2021.04.16

いろいろ (2021.04.16)
(various)

LibreOffice

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (JPCERT/CC, 2020.12.15)

Adobe、セキュリティ情報を発表 ~「Photoshop」「Bridge」「Digital Editions」に致命的な脆弱性  「RoboHelp」も対象
(窓の杜, 2021.04.14)

 こちら:

2021 年 4 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.04.14)

 Microsoft 定例 patch です。 2021 年 4 月のセキュリティ更新プログラムより:

 先月の印刷不具合の件の修正も含まれているそうです。

 Critical に分類されているのは、上記のうち:

2021.04.26 追記:

 patch 提供直後から、一部の Windows 10 バージョン 2004 / 20H2 ユーザーでゲームパフォーマンスの低下が見られていた件、2021.03 patch C 以降で発生していたことを Microsoft が確認。 Known Issue Rollback (KIR) を使って自動対応されるそうです。


2021.04.15

Chrome Stable Channel Update for Desktop
(Google, 2021.04.15)

 Chrome 90.0.4430.72 公開。37 件のセキュリティ修正を含む。 https がデフォルトスキームに。


2021.04.13


2021.04.12


2021.04.09

Firefox 87.0 / ESR 78.9.0 公開
(Mozilla, 2021.03.23)

 そういえば出てました。書き忘れていることに今日気づいた……。

 で、Thunderbird 78.9.1 が出ました。OpenPGP 関連のセキュリティ修正が含まれます。


2021.04.08

いろいろ (2021.04.08)
(various)

Node.js

ClamAV 0.103.2 security patch release
(ClamAV, 2021.04.07)

 ClamAV 0.103.2 公開。複数のセキュリティ欠陥を含む。

CVE-2021-1386: Fix for UnRAR DLL load privilege escalation. Affects 0.103.1 and prior on Windows only.
CVE-2021-1252: Fix for Excel XLM parser infinite loop. Affects 0.103.0 and 0.103.1 only.
CVE-2021-1404: Fix for PDF parser buffer over-read; possible crash. Affects 0.103.0 and 0.103.1 only.
CVE-2021-1405: Fix for mail parser NULL-dereference crash. Affects 0.103.1 and prior.

 あと、以下は CVE 番号は付与されていないのだが:

Fix possible memory leak in PNG parser.
Fix ClamOnAcc scan on file-creation race condition so files are scanned after their contents are written.

2021.04.07

いろいろ (2021.04.07)
(various)

Android

 関連:

  • Pixel 5のGPU性能が「アップデートで最大50%も向上した」との報告、その理由とは? (gigazine, 2021.04.07)

    Pixel 5に対する2021年4月のセキュリティアップデート後に、「Pixel 5のGPU性能が最大50%も向上した」との報告が上がっています。(中略)
    Pixel 5のGPU性能がアップデートにより急上昇した理由についてIT系ニュースサイトのArs Technicaは「リリース時のひどい状態が修正されただけ」と指摘。2020年10月の発売時点では、Pixel 5のGPU性能は他のSnapdragon 765G搭載スマートフォンと比較して大幅に低く、Ars Technicaは発売当時のレビューで「世界で最も遅いSnapdragon 765G搭載スマートフォン」と呼んでいました。そのため、今回のアップデートによってPixel 5のGPU性能が向上したというよりは、単に「GPU性能の問題が修正されただけ」という見方をしています。

    悲惨なパフォーマンスが 6 か月かかってようやく修正された、というのが実態の模様。

Django

Ruby

FreeBSD

 あと Errata も出てます。

AMD Zen3 Predictive Store Forwarding


2021.04.06


2021.04.05

いろいろ (2021.04.05)
(various)

Python


2021.04.03


2021.04.02

追記

Chrome Stable Channel Update for Desktop (2021.03.31)

 Release notes for Microsoft Edge Security Updates: April 1, 2021 (Microsoft)。 Chrome 89.0.4389.114 に対応する Edge Stable Channel 89.0.774.68 が公開されました。


2021.04.01

いろいろ (2021.04.01)
(various)

cURL


過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]