セキュリティホール memo - 2017.09

Last modified: Thu Oct 12 18:17:29 2017 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2017.09.29

Firefox 56.0 / ESR 52.4.0 公開
(Mozilla, 2017.09.28)

 出ました。

 関連:

2017.10.10 追記:

 Thunderbird 52.4.0 出ました。リリースノート「Thunderbird」v52.4.0が正式公開、メーリングリストへの返信に関する仕様を改善 (窓の杜, 2017.10.10)

 Firefox 56.0.1 も出ています。リリースノート。セキュリティ修正はありません。

変更点 64 ビット版 Windows 上で 32 ビット版 Firefox を使用している場合、安定性やセキュリティの高い 64 ビット版 Firefox へ自動的に移行されます。

 手元の 32bit 版 Firefox 56.0 が 64bit 版 56.0.1 に自動移行されたことを確認した。


2017.09.28

About the security content of macOS High Sierra 10.13
(Apple, 2017.09.25)

 macOS High Sierra 10.13 公開。43 件のセキュリティ欠陥を修正。

 サポート状況:

シマンテック

トレンドマイクロ

マカフィー

ソフォス

  • 勧告: Apple MacOS 10.13 対応 (ソフォス)。Sophos Anti-Virus / Endpoint Protection 9.6.5 / 9.7.1 で対応。9.6.4 も対応しているが、「10.13 上では CPU 使用率が高くなる問題が発生する可能性」があるそうで、9.6.5 が推奨されている。

ESET

2017.10.09 追記:

 ESET の情報を追加。 あと、macOS High Sierra 10.13 Supplemental Update が 2017.10.05 付で公開されました。 Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ (ITmedia, 2017.09.26) も修正されたようです。

 macOS 10.12 以前がひきつづき更新されるのかどうかが問題なのだが、よくわからない。

2017.10.12 追記:

 SEP 14.1 で対応する予定? SEP 14 RU1 (Symantec)

 あとトレンドマイクロ: Trend Micro Security (for Mac) 3.0 用 macOS High Sierra 10.13 対応モジュール (エージェントビルド 1118) 公開のお知らせ (トレンドマイクロ, 2017.10.12)

ICANNがルートゾーンKSKロールオーバーの実施延期を発表
(JPNIC, 2017.09.28)

 「2017年10月11日に予定していた新しい鍵による署名の開始」を 2018 Q1 に? 延期。

ICANNの発表によれば、最近の調査によって、 ISPなどインターネット上で利用されるリゾルバのうち、 相当な割合のリゾルバがKSKロールオーバーに対応できていないことが判明したとのことです。

ICANNは、このような状況でルートゾーンのKSKを更新した場合、 インターネットユーザーに多大な影響が出る可能性を懸念し、 結果としてKSKロールオーバーを延期すると決定しました。

 マジか……。「最近の調査」の内容はどこかで公開されているのだろうか。 2018 Q1 に延期したらなんとかなるレベルのものなのだろうか。

 関連: 「KSKロールオーバー」で問題を起こしそうな箇所はここだ! 9月19日だけでなく10月11日にも注意 (Internet Watch, 2017.09.15)

2017.10.02 追記:

 「最近の調査」の内容らしい:

追記

Linux kernel の脆弱性 Dirty COW (CVE-2016-5195) (2016.10.25)

 Android 用マルウェア ZNIU が Dirty COW を利用しているそうです。


2017.09.27

いろいろ (2017.09.27)
(various)

Samba

Nagios Core

Lenovo

追記

システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信 (2017.09.19)

 CCleaner、実は特定企業に対する標的型攻撃だった模様。 特定企業には第 2 段ペイロードが配布されたみたい。


2017.09.26

追記

WordPress 4.8.2 Security and Maintenance Release (2017.09.22)

 日本語版 4.8.2、2017.09.25 付で掲載された。

2017 年 9 月のセキュリティ更新プログラム (月例) (2017.09.13)

 Windows 10 Creators Update (version 1703) をインストールしたいくつかの OEM 機で、再起動後に 5〜10 分間黒画面になる不具合があったそうで。更新プログラムが公開されている。


2017.09.25

Apache Tomcat における脆弱性に関する注意喚起
(JPCERT/CC, 2017.09.25 更新)

 Apache Tomcat に 3 件の欠陥。内 1 件は未修正。

CVE 欠陥のある Tomcat 概要 修正済 Tomcat
CVE-2017-12615 Windows 版 7.0.0 〜 7.0.79 HTTP PUT が有効な場合 (デフォルト無効) に、攻略リクエストによって remote から JSP ファイルのアップロードが可能。これにより任意のコードを実行される。 7.0.81
CVE-2017-12616 7.0.0 〜 7.0.80
(7.0.80 は未リリースみたい)
VirtualDirContext が有効な場合に、攻略リクエストによってセキュリティ機構を迂回し JSP ファイルのソースを取得できる。 7.0.81
CVE-2017-12617 全バージョン? (Windows 版に限らない模様) HTTP PUT が有効な場合 (デフォルト無効) に、攻略リクエストによって remote から JSP ファイルのアップロードが可能。これにより任意のコードを実行される。 未修正

 JPCERT/CC 注意喚起から:

脆弱性 (CVE-2017-12617) に関する情報 (中略) 2017年9月25日現在、Apache Software Foundation からは、影響を受けるバージョンや詳細については明らかにされておりませんが、JPCERT/CC では、CVE-2017-12615 にて対象となったバージョン以外も影響を受けることを確認しています。脆弱性を悪用した攻撃を防ぐために、「IV. 回避策」を参考に対策を検討してください。

 HTTP PUT が有効でなければ (conf/web.xml で readonly を false に設定していなければ) 回避できる。

 関連:

2017.10.04 追記:

 CVE-2017-12617 について対象範囲が確定、7.0.82 / 8.0.47 / 8.5.23 / 9.0.1 で修正 (7.0.82 / 8.0.47 は未リリース)。

CVE 欠陥のある Tomcat 概要 修正済 Tomcat
CVE-2017-12617 7.0.x / 8.0.x / 8.5.x / 9.0.x (Windows 版に限らない) HTTP PUT が有効な場合 (デフォルト無効) に、攻略リクエストによって remote から JSP ファイルのアップロードが可能。これにより任意のコードを実行される。 7.0.82 / 8.0.47 / 8.5.23 / 9.0.1

 参照:

2017.10.05 追記:

 7.0.82 / 8.0.47 も公開されてました。iida さん情報ありがとうございます。


2017.09.22

Chrome Stable Channel Update for Desktop
(Google, 2017.09.21)

 Chrome 61.0.3163.100 公開。3 件のセキュリティ修正を含む。

Joomla! 3.8.0 Release
(Joomla!, 2017.09.19)

 Joomla! 3.8.0 公開。情報漏洩を招くセキュリティ欠陥 2 件を修正。

WordPress 4.8.2 Security and Maintenance Release
(WordPress, 2017.09.19)

 WordPress 4.8.2 公開。潜在的な SQL インジェクションや XSS など計 9 件のセキュリティ欠陥を修正。日本語版はまだみたい。

2017.09.26 追記:

 日本語版 4.8.2、2017.09.25 付で掲載された。


2017.09.21


2017.09.20

Apple 方面 (iOS 11、Safari 11、tvOS 11、Xcode 9、watchOS 4)
(Apple, 2017.09.19)

 出ました。

 また iTunes 12.7 が 2017.09.12 に公開されているが、HT201222 によると、これにもセキュリティ修正が含まれているそうだ。詳細は未公開。

Mac用ターミナルアプリ「iTerm 2」に入力されたパスワードやテキストが誤ってDNSサーバーに送ってしまう不具合が確認される。
(AAPL Ch., 2017.09.20)

 iTerm2 に欠陥。Preferences → [Advanced] → [Sematic History] → [Perform DNS lookups to check if URLs are valid?] オプションが yes の場合に (デフォルトで yes の模様)、パスワード等が予期せず DNS サーバーに送られることがある。

 最新版 iTerm2 v3.1.1 ではデフォルト no に変更されている。最新版に更新しよう。


2017.09.19

システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信
(窓の杜, 2017.09.18)

 Piriform のシステムメンテナンスツール CCleaner と CCleaner が改竄され、正規サーバーにて配布された。改竄版には情報漏洩機能がある。ユーザー 227 万人に影響。改竄版には正規の署名がされていた。

 配布元による情報:

 問題発見者による情報:

 関連報道:

2017.09.19 追記:

 上記記述は随時追加・修正。

 いつまでも聴講生さんから (情報ありがとうございます)

シマンテックインターネットセキュリティーで、本日19日午後ccleanerがTorojan Sib akdi に感染しているとして突如、検疫されてしまいました。
http://gigazine.net/news/20170919-ccleaner-malware/ で案内がありました。利用者の多い定評のあるフリーソフトで20年来安心して使用していましたので、驚きでした。もっとも、V5.33にしてから、adblockのフィルターが消える等の異状がありましたので(これは関係がないかも知れませんが)なにかおかしいなと思うところがありました。FireFox最新版を使用しています。

 関連: Trojan.Sibakdi (Symantec)

2017.09.27 追記:

 CCleaner、実は特定企業に対する標的型攻撃だった模様。 特定企業には第 2 段ペイロードが配布されたみたい。

追記

米FDA、心臓ペースメーカーのリコール発表 脆弱性を突かれ患者に危害が及ぶ恐れ (2017.08.31)


2017.09.15


2017.09.14

「Emac 25.3」が緊急リリース、悪意あるLispコードを実行する脆弱性を修正
(OSDN, 2017.09.14)

 Emacs 19.29〜25.2 における、Enriched Text モードの x-display デコード機能に欠陥。この機能を通じて、任意の emacs lisp コードが実行される恐れがある。

 Emacs 25.3 では x-display デコード機能が廃止された。Emacs 25.2 以前では、以下を .emacs に追加することで回避できる。

(eval-after-load "enriched"
  '(defun enriched-decode-display-prop (start end &optional param)
     (list start end)))

 関連: [ANNOUNCE] Emacs 25.3 released (GNU, 2017.09.11)


2017.09.13

Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
(JPCERT/CC, 2017.09.13)

 各種 OS における Bluetooth 実装に複数の欠陥、remote から情報を取得する、デバイスを操作するなどの攻撃が可能。 The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device (armis)

  1. Linux kernel RCE vulnerability - CVE-2017-1000251
  2. Linux Bluetooth stack (BlueZ) information Leak vulnerability - CVE-2017-1000250
  3. Android information Leak vulnerability - CVE-2017-0785
  4. Android RCE vulnerability #1 - CVE-2017-0781
  5. Android RCE vulnerability #2 - CVE-2017-0782
  6. The Bluetooth Pineapple in Android - Logical Flaw CVE-2017-0783
  7. The Bluetooth Pineapple in Windows - Logical Flaw CVE-2017-8628
  8. Apple Low Energy Audio Protocol RCE vulnerability - CVE-2017-14315

 以下において修正されている。

Android

 Android Security Bulletin—September 2017 (Android, 2017.09.05) の patch level 2017-09-01 で修正されている。

 Google Play で確認ツールが公開されている。

Windows

Linux

 3.3-rc1 以降の Linux カーネル、全ての BlueZ に欠陥がある。 patch:

 各ディストリの状況:

 関連: Linux Kernelの脆弱性(Blueborne: CVE-2017-1000251) (サイオス OSS)

iOS

 iOS 10.x、tvOS 10.x では既に修正されている。 iOS 9.3.5 以前、tvOS 7.2.2 以前は欠陥あり。

 この欠陥を回避するには Bluetooth を無効にすればよい。

 関連:

2017 年 9 月のセキュリティ更新プログラム (月例)
(Microsoft, 2017.09.13)

 出ました。IE / Edge、Windows、Office / Office Server、Flash Player、Skype / Lync、.NET Framework、Exchange。

2017.09.26 追記:

 Windows 10 Creators Update (version 1703) をインストールしたいくつかの OEM 機で、再起動後に 5〜10 分間黒画面になる不具合があったそうで。更新プログラムが公開されている。

Adobe 方面 (ColdFusion、RoboHelp)
(Adobe, 2017.09.12)

RoboHelp

ColdFusion

APSB17-28 - Security updates available for Flash Player
(Adobe, 2017.09.12)

 Flash Player 27.0.0.130 公開。2 件のセキュリティ欠陥 (0-day ではない) を修正。 CVE-2017-11281 CVE-2017-11282

 優先度、Chrome 内蔵版については 2 になっている。前回までは 1 だった。 通常版と IE 11 / Edge 用は 1、Linux 用は 3。


2017.09.12

CG-WLR300NMにおける複数の脆弱性について
(コレガ, 2017.09.08)

 2012年11月28日発売 のコレガの無線 LAN ルーター CG-WLR300NM ファームウェア Ver. 1.90 以前に 2 つの欠陥。

 CG-WLR300NM のサポートは終了しており、修正ファームウェアは提供されない。 CG-WLR300NM は廃棄し、他の無線 LAN ルーターを使用すること。

 関連: JVN#00719891 - CG-WLR300NM における複数の脆弱性 (JVN, 2017.09.08)。コレガの説明とは若干異なるんだよなあ。

NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起
(JPCERT/CC, 2017.09.12)

 NTT ドコモの Wi-Fi STATION L-02F (LG Electronics 製、生産終了) にセキュリティ欠陥、remote から任意のコマンドを管理者権限で実行できる。 JPCERT/CC では攻撃を観測済。

 ソフトウェアバージョン L02F-MDM9625-V10h-JUN-23-2017-DCM-JP (最新) で修正されている。Wi-Fi STATION L-02Fの製品アップデート情報 から入手できる。ただし、当該ページにはこんな記述しかない。

改善される事象

まれにデータ通信が正常に行われない場合があります。

 なんじゃそりゃ。

 この他に、ソフトウェアバージョン L02F-MDM9625-V10b-MAR-06-2014-DCM-JP 以前には、インターネット側から Web インターフェースにアクセスできる欠陥があり、L02F-MDM9625-V10c-MAY-29-2014-DCM-JP 以降で修正されている模様。

 関連: 「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い (NTT ドコモ, 2017.07.10)。こんな発表してたのか。「セキュリティ上の脆弱性」があり「意図しないデータ通信が発生する場合があります」とされているが、具体的にどのような内容なのかは不明。


2017.09.11


2017.09.08

Android 方面
(various)

Android 月例セキュリティ修正

Android ブートローダー (Qualcomm、HiSilicon / Huaway、NVIDIA、MediaTek)


2017.09.07

追記

Struts 2.5.13 General Availability (2017.09.06)

 S2-052 が改訂され、対象範囲が拡大された。2.5 系の他、2.1.2〜2.3.33 にも影響するという。

 Struts 2.3.34 が公開された。S2-050、S2-051、S2-052 の他に S2-053 が修正されているという。これも remote から任意のコードを実行できる欠陥。


2017.09.06

Chrome Stable Channel Update for Desktop
(Google, 2017.09.05)

 Chrome 61.0.3163.79 が stable に。22 件のセキュリティ欠陥の修正を含む。 iida さん情報ありがとうございます。

 関連: 「Google Chrome 61」が正式版に ~モジュール機能や“WebUSB”をサポート (窓の杜, 2017.09.06)

また、本バージョンから中国の“WoSign”など、過去に不正を行った認証局から発行された証明書に対する信頼が完全に削除される。

Struts 2.5.13 General Availability
(Apache Struts, 2017.09.05)

 Struts 2.5.13 公開。3 件のセキュリティ欠陥を修正。

 特に S2-052 がヤバい模様。Struts 2.5.x + REST プラグインな環境で、remote から任意のコードを実行できる。PoC も公開されている。

 S2-050、S2-051 は Struts 2.3 系にも影響し、Struts 2.3.34 で修正される (未リリース)。

2017.09.07 追記:

 S2-052 が改訂され、対象範囲が拡大された。2.5 系の他、2.1.2〜2.3.33 にも影響するという。

 Struts 2.3.34 が公開された。S2-050、S2-051、S2-052 の他に S2-053 が修正されているという。これも remote から任意のコードを実行できる欠陥。


2017.09.05


2017.09.01


[セキュリティホール memo]
[私について]