セキュリティホール memo - 2010.11

Last modified: Mon Jan 10 22:26:29 2011 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2010.11.30


2010.11.29

追記

マイクロソフト セキュリティ アドバイザリ (2269637) 安全でないライブラリのロードにより、リモートでコードが実行される

 iceiv+putty (ice.hotmint.com, 2010.08.28)。 PuTTY svn 8965 + PuTTY 0.60 ごった煮版 2007年8月6日版 + 独自 patch なものが公開されています。 DLL 読み込みに関する脆弱性についても独自に対応されているようです。 りょうさん情報ありがとうございます。

 ちなみに、本家 PuTTY では、2010.09.13 ごろに対応されているようです。最新の svn 版ソース、および ダウンロードページにある最新の development snapshot では直っている模様です。


2010.11.28


2010.11.27


2010.11.26

追記

Stuxnet worm 'targeted high-value Iranian assets'

 関連:

  • 「Stuxnet」再び:質疑応答 (エフセキュアブログ, 2010.11.23)

    Q:エフセキュアはVaconと接触しているのか?
    A:している。彼らはこの問題を調査しているが、「Stuxnet」がVaconのカスタマのオペレーションに、何らかの問題を起こした例は見いだしていない。
    Q:Stuxnetはどのような脆弱性を利用するのか?
    A:Stuxnetは全般的に、5種の脆弱性を利用する。そのうちの4種はゼロデイだ:
    (中略)
    Q:Microsoftがこれらにパッチを当てているのでは?
    A:権限昇格の脆弱性2種のうち1つは修正された。最後に残っている脆弱性のパブリックエクスプロイトは、11月にリリースされた。
  • Stuxnet? Let's stop being scared of shadows (Sophos, 2010.11.25)

  • W32.Stuxnet - ネットワーク上の動作 (Symantec, 2010.11.16)

  • W32.Stuxnet コンポーネントの抽出 (Symantec, 2010.11.17)

050IP電話の不正利用による国際通話に関する注意喚起について
(NTT Communication, 2010.11.24)

 IP 電話方面では so-net さんの事例 (2010.07.212010.08.30) が話題になりましたが、 NTT Communication さん方面でも、いろいろあるみたい。

 あと、予防策として:

普段国際通話をご利用にならないお客さまは、国際電話利用休止の付加サービス(無料)を利用することで、国際電話への発信ができないよう規制することも可能です。

2010.12.09 追記:

 関連:

 「NTT Com の050IP電話サービスでは推奨していないIP-PBXソフトウェアをご利用の場合」ですかね……。

2010.12.15 追記:

 JPCERT/CC の「不適切な設定で Asteriskを利用した場合に発生し得る不正利用に関する注意喚起 」 (JPCERT/CC, 2010.12.09) が追記されていた。アカウントに対する辞書攻撃事例。


2010.11.25

Windowsのほぼすべてのバージョンに権限昇格の脆弱性、実証コード公開される
(Internet Watch, 2010.11.25)

 これですか: Elevation of privileges under Windows Vista/7 (UAC Bypass) (exploit-db.com, 2010.11.24)。 Web ページは閉じられちゃったみたいだけど、zip ファイルに PoC コードとビデオが入ってるっぽい。 CVE-2010-4398

2010.11.26 追記:

 関連:

2010.12.08 追記:

 WindowsカーネルのRtlQueryRegistryValuesにおける権限昇格可能な脆弱性に関する検証レポート (NTT データ・セキュリティ, 2010.11.26)


2010.11.24

いろいろ (2010.11.24)
(various)

[SECURITY] CVE-2010-4172: Apache Tomcat Manager application XSS vulnerability
(bugtraq, 2010.11.23)

 Tomcat 7.0.0〜7.0.4 / 6.0.12〜6.0.29 に XSS 欠陥。 CVE-2010-4172

 Tomcat 7.x SVN 版 (Revision 1037778) / 6.x SVN 版 (Revision 1037779) では修正されている。

追記

HTTPセッションハイジャックを実行できるFiresheep登場

About the security content of iOS 4.2
(Apple, 2010.11.22)

 iPod / iPhone / iPad 用 iOS 4.2 登場。85 種類の欠陥が修正されている。 ほとんどの欠陥は iOS 2.0 時代から存在するもの。

 iOS 4.2 では、これまで有料 (MobileMe への加入が必要) だった Find My iPhone が無料になるそうで。 Windows Phone 7 の Find My Phone に対抗したとかしないとか。

 あと、iPad に iOS 4.2 をインストールすると、一部の UI が変わってしまう模様。


2010.11.22


2010.11.20


2010.11.19

CakePHPのSecurityComponentに深刻なセキュリティホールが見つかりました
(Shin x blog, 2010.11.17)

 SecurityComponent を利用している場合、remote から任意のコードを実行できるそうで。CakePHP 1.2.9 / 1.3.6 で修正されている他、SecurityComponent に patch を適用することでも対応できるそうで。

 関連: [Full-disclosure] CakePHP <= 1.3.5 / 1.2.8 unserialize() Vulnerability (Felix, 2010.11.15)

2011.01.10 追記:

 CakePHPのSecurityComponentの脆弱性で任意のPHPコードが実行できる仕組み (disり用。, 2011.01.04)

About the security content of Safari 5.0.3 and Safari 4.1.3
(Apple, 2010.11.18)

 Safari 5.0.3 / 4.1.3 登場。任意のコードの実行を許すものを含む、27 種類の欠陥が修正されている。全て WebKit の欠陥、Windows / Mac 共通。 CVE-2010-3803 CVE-2010-3804 CVE-2010-1815 CVE-2010-3805 CVE-2010-3259 CVE-2010-3808 CVE-2010-1812 CVE-2010-3809 CVE-2010-1814 CVE-2010-3810 CVE-2010-3811 CVE-2010-3812 CVE-2010-3813 CVE-2010-3116 CVE-2010-3257 CVE-2010-3816 CVE-2010-3817 CVE-2010-3818 CVE-2010-3819 CVE-2010-3820 CVE-2010-1813 CVE-2010-3821 CVE-2010-3822 CVE-2010-3823 CVE-2010-3824 CVE-2010-1822 CVE-2010-3826

About the security content of Mac OS X Server v10.6.5 (10H575)
(Apple, 2010.11.15)

 Mac OS X Server 10.6.5 専用の修正。dovecot の欠陥 CVE-2010-4011 が修正されている。


2010.11.18


2010.11.17

追記

いろいろ (2010.11.11)

  APSB10-28: Security updates available for Adobe Reader and Acrobat (Adobe, 2010.11.16)。Adobe Reader / Acrobat 9.4.1 登場……ですが、Windows / Mac 版のみ。Unix 版は 2010.11.30 だそうです。 この欠陥は Adobe Reader 8.x にも影響するが、次期版まで待つ必要があるそうで。

APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

  APSB10-28: Security updates available for Adobe Reader and Acrobat (Adobe, 2010.11.16)。Adobe Reader / Acrobat 9.4.1 登場……ですが、Windows / Mac 版のみ。Unix 版は 2010.11.30 だそうです。

APSB10-28: Security updates available for Adobe Reader and Acrobat
(Adobe, 2010.11.16)

 Adobe Reader / Acrobat 9.4.1 登場。2 件の欠陥 CVE-2010-3654 (APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat の件) と CVE-2010-4091 ([Full-disclosure] [0dayz] Acrobat Reader Memory Corruption Remote Arbitrary Code Execution の件) が修正されている。 Windows / Mac 版は既にリリースされたが、Unix 版のリリースは 2010.11.30 だそうだ。

 CVE-2010-3654 は Adobe Reader / Acrobat 8.x には影響しない。 CVE-2010-4091 は Acrobat 8.x には影響しないが、Adobe Reader 8.x には影響する。 これについては次回リリースで修正されるのだそうだ。 Adobe Reader 8.x 以前については今すぐ 9.4.1 にアップグレードするのがよろしいかと。

 Acrobat の patch の入手先は、APSB10-28 を参照。 Adobe Reader については、ftp://ftp.adobe.com/pub/adobe/reader/ からも入手できる。

 関連:

OpenSSL Security Advisory: TLS extension parsing race condition
(OpenSSL, 2010.11.16)

 OpenSSL 0.9.8f〜o、1.0.0、1.0.0a に欠陥。 マルチスレッドかつ OpenSSL 内部キャッシュを利用している場合の、TLS サーバ拡張の実装に欠陥があり、buffer overflow が発生。 マルチプロセスなサーバ、および/または内部キャッシュを無効にしているサーバには、この欠陥は影響しない。Apache や Stunnel は影響しない側に分類される。CVE-2010-3864

 OpenSSL 0.9.8p / 1.0.0b で修正されている。また OpenSSL 0.9.8 / 1.0.0 用の patch が添付されている。

2010.12.07 追記:

 改訂版が出ている: http://www.openssl.org/news/secadv_20101116-2.txt。 OpenSSL 1.0.0b における修正には不具合があり、OpenSSL 1.0.0c で修正されているそうだ。


2010.11.16

いろいろ (2010.11.16)
(various)

追記

Stuxnet worm 'targeted high-value Iranian assets'

 関連:

  • W32.Stuxnet の亜種 (Symantec, 2010.11.11)

    各種のサンプルの解析から、この脅威がいつ頃から開発されてきたか、また悪用されてきたかが、現在までに少しずつ解明されてきました。開発は少なくとも 2009 年の 6 月までさかのぼり、それ以来、開発者たちが新しいコンポーネントや暗号化、悪用の機能を追加して開発を続けています。利用されているコンポーネントとコードは膨大な量にのぼります。しかも、パッチ修正前の脆弱性を利用してリムーバブルドライブ経由で拡散できるように脅威を進化させている能力を考えると、この脅威の開発者たちはかなり多くのリソースを使うことができ、これほどの大仕事に必要な時間もとれることがわかります。「10 代のハッカーが自室にこもってコーディング」している類の行為ではありません。
  • Stuxnet: 画期的な解明 (Symantec, 2010.11.13)

    しかし、Stuxnet には、2 つの特定のベンダー(1 社はフィンランドに、もう 1 社はイランのテヘランに本社を置きます)の少なくともいずれか 1 社の周波数変換ドライブが産業用制御システムに必要であることをようやく確認できました。これは、S7-300 CPU および CP-342-5 Profibus 通信モジュールについて説明したこれまでの要件に加えられるものです。
    (中略)
    Stuxnet には、非常に高速(807 Hz 〜 1210 Hz)で動作する周波数変換ドライブが必要です。周波数変換ドライブは多くの産業制御アプリケーションで使用されていますが、このような速度は限られた数のアプリケーションでしか使用されません。
    (中略)
    シマンテックは産業用制御システムの専門家ではないため、このような速度で動作すると考えられるアプリケーションをすべて把握しているわけではありませんが、たとえば、小売包装施設で使用されるベルトコンベヤーが標的となることはまずないと考えられます。さらに、出力が 600 Hz 超の高効率低調波周波数変換ドライブは、ウラン濃縮に使用可能であるため、米国では原子力規制委員会によって輸出が規制されています。シマンテックでは、これらの周波数で周波数変換ドライブを使用するその他のアプリケーションについて調査したいと考えています。
    この発見によって、すべての Stuxnet コードの目的が判明しました。シマンテックでは、ホワイトペーパーを修正し、より詳細な記述を含めました(具体的には、「Modifying PLCs」セクションにいくつかのサブセクションを追加しました)。重ねてお願いしますが、シマンテックは決して産業用制御システムの専門家ではないため、フィードバックやさらなるヒント、あるいはデータに関する説明を歓迎いたします。ご連絡いただける場合は、このブログの一番上にある私の名前をクリックしてください。

2010.11.15

追記

About the security content of Mac OS X v10.6.5 and Security Update 2010-007

 これに含まれる QuickTime の欠陥修正は Windows 版にも影響しており、未修正だという話:

APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 Prenotification: Out-of-Cycle Security Updates for Adobe Reader and Acrobat (Adobe PSIRT Blog, 2010.11.12)。US 時間で 2010.11.16 だそうです。日本だと 2010.11.17 水曜日ですね。


2010.11.14


2010.11.12

追記

国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム

 Compromised Websites Used For Affiliate Scams (trendmicro blog, 2010.11.11)。アフィリエイトによる金銭取得が目的か!? - “mstmp””lib.dll”攻撃続報 (トレンドマイクロ セキュリティ blog, 2010.10.29) の英語版かな。


2010.11.11

More than 1 million Chinese phones infected with malware
(virus bulletin, 2010.11.11)

 中国さすがです。関連?: WinCE/InfoJack.B (マカフィー)

いろいろ (2010.11.11)
(various)

2010.11.17 追記:

  APSB10-28: Security updates available for Adobe Reader and Acrobat (Adobe, 2010.11.16)。Adobe Reader / Acrobat 9.4.1 登場……ですが、Windows / Mac 版のみ。Unix 版は 2010.11.30 だそうです。 この欠陥は Adobe Reader 8.x にも影響するが、次期版まで待つ必要があるそうで。

追記

HTTPセッションハイジャックを実行できるFiresheep登場

Microsoft 2010 年 11 月のセキュリティ情報
(Microsoft, 2010.11.10)

 予定どおり 3 件。

MS10-087 - 緊急: Microsoft Office の脆弱性により、リモートでコードが実行される (2423930)

 Office XP (2002) / 2003 / 2007 / 2010、Office 2004 / 2008 for Mac、 Office for Mac 2011 (名前のつけ方が微妙に違う……また面倒臭いことをしてくれたもんだ)、Open XML File Format Converter for Mac に 5 件の欠陥。

 重要: Office 2004 / 2008 for Mac、 Open XML File Format Converter for Mac 用の修正プログラムはまだない。

MS10-088 - 重要: Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (2293386)

 Office XP (2002) / 2003、Office 2004 for Mac、PowerPoint Viewer 2007 SP2 に 2 件の欠陥。

 重要: Office 2004 for Mac 用の修正プログラムはまだない。

MS10-089 - 重要: Forefront Unified Access Gateway (UAG) の脆弱性により、特権が昇格される (2316074)

 Forefront Unified Access Gateway (UAG) 2010 に 4 件の欠陥。

  • UAG のリダイレクトのなりすましの脆弱性 - CVE-2010-2732。 Exploitability Index: 3

  • UAG XSS の特権の昇格の脆弱性 - CVE-2010-2733。 Exploitability Index: 1

  • Forefront Unified Access Gateway の UAG モバイル ポータル Web サイト上の XSS の脆弱性 - CVE-2010-2734。 Exploitability Index: 1

  • Signurl.asp の XSS の脆弱性 - CVE-2010-3936。 Exploitability Index: 1

2010.12.31 追記:

 関連: Targeted attacks against recently addressed Microsoft Office vulnerability (CVE-2010-3333/MS10-087) (Microsoft Security Research & Defense, 2010.12.29)

About the security content of Mac OS X v10.6.5 and Security Update 2010-007
(Apple, 2010.11.10)

 Mac OS X v10.6.5、および Mac OS X v10.5.8 用のセキュリティ更新 2010-007 登場。計 134 個の欠陥が修正されている。

2010.11.15 追記:

 これに含まれる QuickTime の欠陥修正は Windows 版にも影響しており、未修正だという話:

2010.12.08 追記:

 QuickTime の件、QuickTime 7.6.9 で修正されました。


2010.11.10


2010.11.09

追記

HTTPセッションハイジャックを実行できるFiresheep登場


2010.11.08


2010.11.05

[PHP-DEV] PHP 5.2.15 and 5.3.4
(PHP-DEV ML, 2010.11.04)

 PHP 5.2 系列は、12 月中旬に予定されている 5.2.15 のリリースで終了するようです。 「活発なサポート」は PHP 5.2.14 の段階で既に終了していますが、5.2.15 が「EOL 前の最後のリリース」となるそうで。5.2 の EOL が正確にはいつなのか、よくわかりませんが。

As far as PHP 5.2 is concerned 5.2.15 is the last release before EOL that was announced this summer, the goal of this release is to finalize the various key and security fixes that were made since the last release.

 既知のセキュリティ欠陥については 5.2.15 で直したいようですが、5.2.15 で直っていなければ、永遠に直らなさそうです。

 大垣さん情報ありがとうございます。

APSB10-26: Security update available for Adobe Flash Player
(Adobe, 2010.11.04)

 Flash Player 10.1.102.64 / 9.0.289.0 for Windows / Mac / Unix 登場。 APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat の件 (CVE-2010-3654) も含め、合計 18 件の欠陥が修正されている。 CVE-2010-3636 CVE-2010-3637 CVE-2010-3638 CVE-2010-3639 CVE-2010-3640 CVE-2010-3641 CVE-2010-3642 CVE-2010-3643 CVE-2010-3644 CVE-2010-3645 CVE-2010-3646 CVE-2010-3647 CVE-2010-3648 CVE-2010-3649 CVE-2010-3650 CVE-2010-3652 CVE-2010-3654 CVE-2010-3976

マイクロソフト セキュリティ情報の事前通知 - 2010 年 11 月
(Microsoft, 2010.11.05)

 もうそんな季節です。Office 全般 x 1 (緊急)、PowerPoint x 1 (重要)、Forefront Unified Access Gateway x 1 (重要)。

追記

Stuxnet worm 'targeted high-value Iranian assets'

 関連:

マイクロソフト セキュリティ アドバイザリ (2458511) Internet Explorer の脆弱性により、リモートでコードが実行される

APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

Google Chrome Stable Channel Update
(Google Chrome Release blog, 2010.11.04)

 Google Chrome 7.0.517.44 登場。10 件のセキュリティ欠陥が修正されている。 内蔵の Flash Player も更新されている。


2010.11.04

マイクロソフト セキュリティ アドバイザリ (2458511) Internet Explorer の脆弱性により、リモートでコードが実行される
(Microsoft, 2010.11.04)

 IE 6〜8 に 0day 欠陥。CSS の処理に欠陥があり、攻略 Web ページを閲覧すると任意のコードが実行される。CVE-2010-3962

 修正プログラムはまだない。以下の回避方法がある。

 関連: 標的型攻撃に悪用された IE の新しいゼロデイ脆弱性 (シマンテック, 2010.11.04)

2010.11.05 追記:

 関連:

追記

APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat が 2010.11.02 付で改訂されてます。Flash Player 10.x for Windows / Mac / Unix の提供予定が 2010.11.04 に前倒しされました (明日ですね)。Flash Player 10.x for Android は 2010.11.09 のまま。

The "Sony rootkit" case

ProFTPD TELNET_IAC Remote Code Execution Vulnerability
(Zero Day Initiative, 2010.11.02)

 ProFTPD 1.3.3b 以前? に欠陥。 TELNET_IAC エスケープシーケンスの処理に欠陥があり、stack overflow が発生。remote から任意のコードを実行できる。 CVE-2010-4221

 ProFTPD 1.3.3c で修正されている。

 ProFTPD 1.3.3c のリリースノートを見ると、他にもこんな文字列が:

+ Fixed directory traversal bug in mod_site_misc
+ Fixed SQLite authentications using "SQLAuthType Backend"

 CVE-2010-3867

[JS10003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
(ジャストシステム, 2010.11.04)

 一太郎2004〜2010、一太郎ガバメント2006〜2010、ジャストスクール無印〜2010、ジャストジャンプ4に欠陥。攻略文書ファイルを開くと、「悪意のあるプログラムをローカルディスクに保存しようと」する。任意のコードの直接実行はできない、ということか?

 ……欠陥は 2 種類あるのだそうで。でも結局、任意のコードじゃん……。

 修正プログラムが用意されているので適用すればよい。

 既に攻略プログラムが存在するそうです:


2010.11.03

追記

国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム

APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat

 Adobe Reader / Acrobat だけでなく、Flash についても in-the-wild 状態に突入している模様です。


2010.11.02

権威DNSサーバーにおける不適切なBogonフィルターの設定について - 設定内容の確認と割り振り状況に対応したフィルターの更新を忘れずに -
(JPRS, 2010.11.02)

 今すぐ確認しよう。


2010.11.01

追記

Critical vulnerability in Firefox 3.5 and Firefox 3.6

 Using the Browser Cache to Bypass Security (Symantec, 2010.10.28) の日本語版: ブラウザのキャッシュを利用したセキュリティの回避 (シマンテック, 2010.10.28)

国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム

 【注意喚起】大手有名サイトの閲覧で発生したコンピュータウイルス感染について (LAC, 2010.10.29)

下記IPアドレスへのアクセスを行っているPCは、感染している可能性があるため、該当するPCがないかをご確認いただくこと、また該当PCがある場合はそれを特定し、ウイルスの駆除を行ってください。
[64.27.25.223]、[64.27.25.224]、[88.80.7.152]、[85.17.209.3]、[95.211.111.229]、 [95.211.108.93]、[178.63.62.19]

 アフィリエイトによる金銭取得が目的か!? - “mstmp””lib.dll”攻撃続報 (トレンドマイクロ セキュリティ blog, 2010.10.29)


[セキュリティホール memo]
[私について]