セキュリティホール memo - 2018.12

Last modified: Tue Apr 16 16:48:31 2019 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2018.12.28

Prenotification Security Advisory for Adobe Acrobat and Reader | APSB19-02
(Adobe, 2018.12.27)

 2019.01.03 (US時間) に Acrobat / Reader の更新出すそうです。

 どうして Priority: 2、Severity: Important で非定例 update なんだろう。 APSB18-41 の積み残し?

2019.01.07 追記:

 出てます: Security Bulletin for Adobe Acrobat and Reader | APSB19-02 (Adobe, 2019.01.03)。Zero Day Initiative からの 2 件を修正。

種別 更新版
Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.010.20069
Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30113
Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30464

 関連:

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:


2018.12.27


2018.12.26

追記

「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響 (2018.12.21)

 sqlite: CVE-2018-20346: integer overflow (resulting in buffer overflow) for FTS3 queries (oss-sec ML, 2018.12.21) によると、 CVE-2018-20346 になったそうです。


2018.12.25


2018.12.21

いろいろ (2018.12.21)
(various)

vRealize Operations

東芝ホームゲートウェイ HEM-GW16A、HEM-GW26A

Cisco ASA

「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響
(ZDNet, 2018.12.17)

 SQLite で FTS3 全文検索拡張を利用する場合に複数の欠陥があり、リモートから任意のコードを実行できる。SQLite 自身の他、SQLite を利用しているアプリにも影響する場合がある。CVE 番号未確定。

2018.12.26 追記:

 sqlite: CVE-2018-20346: integer overflow (resulting in buffer overflow) for FTS3 queries (oss-sec ML, 2018.12.21) によると、 CVE-2018-20346 になったそうです。

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:


2018.12.20

追記

2018 年 12 月のセキュリティ更新プログラム (月例) (2018.12.12)

 定例外で IE (JScript スクリプトエンジン) の更新プログラムが公開されました。 この欠陥を利用した 0-day 攻撃が確認されているそうです。


2018.12.19

いろいろ (2018.12.19)
(various)

Apple iOS

PDF-XChange Editor

複数のTLS実装でのCAT(Cache-like ATacks)の脆弱性 (RSA鍵交換の危険性)


2018.12.18

追記

Firefox 64.0 / ESR 60.4.0 公開 (2018.12.14)

 New Release: Tor Browser 8.0.4 (Tor Project, 2018.12.11)。MFSA 2018-30 対応など。 iida さん情報ありがとうございます。


2018.12.17

いろいろ (2018.12.17)
(various)

Go

Aterm WF1200CR、WG1200CR

PHP

WordPress 5.0.1 Security Release
(WordPress, 2018.12.13)

 WordPress 5.0 “ベボ” が公開されたばかりですが、5.0.1 出ています。 あわせて、4.9 用のセキュリティ修正 4.9.9 も公開されたようです。

2019.02.20 追記:

 WordPress 5.0.0 Remote Code Execution (RIPS Technologies, 2019.02.19)。WordPress 4.9.9 / 5.0.1 で修正された、「投稿者が特別に細工された入力を使うことで、権限のない投稿タイプの投稿を作成できてしまう」件について。またこの他に Path Traversal な欠陥が、修正されずに残っているのだという。

This blog post detailed a Remote Code Execution in the WordPress core that was present for over 6 years. It became non-exploitable with a patch for another vulnerability reported by RIPS in versions 5.0.1 and 4.9.9. However, the Path Traversal is still possible and can be exploited if a plugin is installed that still allows overwriting of arbitrary Post Data. Since certain authentication to a target WordPress site is needed for exploitation, we decided to make the vulnerability public after 4 months of initially reporting the vulnerabilities.

2018.12.14

Chrome Stable Channel Update for Desktop
(Google, 2018.12.12)

 Chrome 71.0.3578.98 公開。1 件のセキュリティ修正を含む。

Firefox 64.0 / ESR 60.4.0 公開
(Mozilla, 2018.12.11)

 出てました。iida さん情報ありがとうございます。

2018.12.18 追記:

 New Release: Tor Browser 8.0.4 (Tor Project, 2018.12.11)。MFSA 2018-30 対応など。 iida さん情報ありがとうございます。

2019.01.22 追記:

 Thunderbird 60.4 が出たようです。

追記

2018 年 12 月のセキュリティ更新プログラム (月例) (2018.12.12)


2018.12.13

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:

ソフトバンク、通信障害の原因を公表 エリクソン製交換機ソフトの「期限切れ」 (2018.12.07)

 関連:

プリンターおよびスキャナーのWeb Configにおける脆弱性について
(EPSON, 2018.12.03)

 EPSON の複数のプリンター・スキャナーの Web Config (Web 設定機能) に複数の欠陥があり、 「別のウェブサイトにリダイレクトされる」「偽の情報が表示されたり、任意のスクリプトが実行されたりする」。

 修正版ファームウェアが公開されているので適用すればよい。対象機種:

スキャナー

  • DS-570W
  • DS-780N

カラリオプリンター

  • EP-10VA
  • EP-30VA
  • EP-707A
  • EP-708A
  • EP-709A
  • EP-777A
  • EP-807AB/AR/AW
  • EP-808AB/AR/AW
  • EP-879AB/AR/AW
  • EP-907F
  • EP-977A3
  • EP-978A3
  • EP-979A3
  • PF-70
  • PF-71
  • PF-81
  • PX-048A
  • PX-049A
  • PX-437A

エコタンク搭載モデル

  • EP-M570T
  • EW-M5071FT
  • EW-M660FT
  • EW-M770T

スマートチャージ

  • PX-S7050X
  • PX-S7070X
  • PX-M7050FX
  • PX-M7070FX
  • PX-M840FX
  • PX-S840X

ビジネスプリンター

  • PX-S7050
  • PX-S7050PS
  • PX-M7050F
  • PX-M7050FP
  • PX-M350F
  • PX-M650A
  • PX-M650F
  • PX-M680F
  • PX-M740F
  • PX-M741F
  • PX-M5040F
  • PX-M5041F
  • PX-S5040
  • PX-M780F
  • PX-M781F
  • PX-M840F
  • PX-M860F
  • PX-S05B/W
  • PX-S350
  • PX-S740
  • PX-S840
  • PX-S860

 関連:


2018.12.12

Security fix: phpMyAdmin 4.8.4 is released
(phpMyAdmin, 2018.12.11)

 予告されていた phpMyAdmin のセキュリティ修正出ました。 3 件のセキュリティ欠陥が修正されています。

 詳細は phpMyAdminの複数の脆弱性情報(Severe(重大): CVE-2018-19968, Moderate: CVE-2018-19969, CVE-2018-19970) (サイオス セキュリティブログ, 2018.12.12) をどうぞ。

2018 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.12.12)

 2018.12 定例出ました。 IE / Edge, Windows, Office, Exchange, ChakraCore, .NET Framework, Dynamics NAV, Visual Studio, Windows Azure Pack (WAP), Flash Player (APSB18-42 の件)。

 関連:

2018.12.14 追記:

 関連:

2018.12.20 追記:

 定例外で IE (JScript スクリプトエンジン) の更新プログラムが公開されました。 この欠陥を利用した 0-day 攻撃が確認されているそうです。

2019.01.08 追記:

 関連:

Security Bulletin for Adobe Acrobat and Reader | APSB18-41
(Adobe, 2018.12.11)

 Acrobat / Reader 更新版公開、多数のセキュリティ欠陥を修正。 Priority: 2

種別 更新版
Acrobat / Reader DC (Continuous Track) 2019.010.20064
Acrobat / Reader 2017 (Classic 2017) 2017.011.30110
Acrobat / Reader DC (Classic 2015) 2015.006.30461

 関連:


2018.12.11

追記

「Google+」が終了へ、18年3月に見つかった情報漏洩バグを今まで公表せず (2018.10.09)

 情報漏洩をもたらす別のバグが発見されたことから、消費者向け Google+ の閉鎖が 2019.08 から 2019.04 に前倒しされたそうで。


2018.12.10

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:

ソフトバンク、通信障害の原因を公表 エリクソン製交換機ソフトの「期限切れ」 (2018.12.07)

 ソフトバンクが、プレス向けに説明会を開いたようです。 こういうのこそ、ネット中継すればいいのに。

 関連:


2018.12.07

通信機器調達、安保リスク重視 政府が指針 中国製念頭
(日経, 2018.12.07)

 日本政府もついにファーウェイ/ZTE 排除をはじめるようです。

政府関係者によると、通信機器などの調達はこれまで価格で判断する一般競争入札を基本としてきた。新指針では安全保障上のリスクを低減できるかどうかも考慮する。通信機器から機密情報が流出したり、システムが停止して機能不全になったりするリスクを抑える。

名指しはしないが、念頭に置くのは中国企業の製品だ。カナダ司法省は米政府の要請を受けて1日にファーウェイの創業者の娘である孟晩舟・副会長兼最高財務責任者(CFO)を逮捕した。米国が経済制裁を科すイランに製品を違法に輸出した疑いとされる。米国は同社に加え中興通訊(ZTE)や監視カメラ大手の杭州海康威視数字技術(ハイクビジョン)など5社を安保上のリスクがあるとして警戒を強めてきた。

日本政府関係者によると、ファーウェイによるイランへの製品輸出が事実なら日本の新指針に抵触し、同社は調達先から排除される。日本でも中国製の通信機器を使用している企業は少なくなく、調達禁止の製品が広がればサプライチェーンに影響を及ぼす可能性がある。

 これまでの動き:

 米、英、オーストラリア、ニュージーランド。 カナダはファーウェイ/ZTE 規制はやってないみたいだけど、そのかわりタイホですか。

 滝田洋一さんのツイート:

 Five Eyes ですか。確かに……。

2018.12.10 追記:

 関連:

2018.12.11 追記:

 関連:

2018.12.13 追記:

 関連:

2018.12.21 追記:

 関連:

2018.12.26 追記:

 ファーウェイ関連

2018.12.28 追記:

 関連:

2019.01.07 追記:

 Huawei総裁はなぜ100人リストから排除されたのか? (遠藤誉 / Yahoo, 2018.12.30)。Huawei は国家ではなく人民の企業なのだという話。

ZTEがアメリカの制裁を受けたことに関して、ネットには「ざまあ、見ろ!」という言葉に相当した中国語(活該!)の書き込みはあっても、それに抵抗を示す若者は一人もいなかった。しかし今般、Huaweiの孟晩舟が拘束されると、中国の若者の間ではアップルのiPhoneを破壊したり、Huaweiのロゴを掲げたりなどして、アメリカに抵抗を示す若者の姿が見受けられた。別に孟晩舟を応援しているわけではなく、国有企業ZTEから長いこと嫌がらせを受けて勝ち残ってきたHuaweiに対する一般庶民や若者の心情は、中国政府への抵抗につながる何かを体現しているように見える。特にHuaweiを潰そうとした国務院総理が、天安門事件で若者に銃口を向けた、あの李鵬であることを考えると、なおさらだろう。天安門事件への憤りは庶民の間から消えたわけではない。

2019.01.16 追記:

 ファーウェイ問題の深淵:サイバースペースで前方展開する米国 (土屋大洋 / ニューズウィーク日本版, 2019.01.16)

ファーウェイ事件の直後に来日した米国国家安全保障局(NSA)の長官も務めたマイク・マッコーネル提督に、「ファーウェイの問題は、米国が同じことができるから中国もできるに違いないという見立てに基づいているのではないですか」と聞いた。 (中略) マッコーネル提督は直接答えなかった。しかし、「チャンスがあれば99%やるのが当たり前だ。やらないほうがおかしい。米国でも中国でも、インテリジェンス活動の対象が決まっていて、そこから情報をとる必要があるならば、可能なことは何でもやるはずだ」というのが彼の答えだった。

 いままで US がさんざんやってきたことを、今後は中国にやられそうなので怖がっているわけです。実際にやっているかどうかではなく、できるかどうかが問題で、できるのであれば必ずやるだろうと。

2019.01.29 追記:

 関連:

2019.03.15 追記:

 ヨーロッパ方面では風向きが変わってきた?

2019.04.16 追記:

 関連:

追記

これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? (2018.11.30)

 unbound 1.8.2 リリースされました。 Unbound 1.8.2 released (unbound-users ML, 2018.12.04)

The nameserver records in large returned negative responses are scrubbed out of the packet to avoid fragmentation based DNS cache poisoning, from a report from T.Suzuki.

Apple 方面 (iOS, tvOS, Shortcuts, macOS, Safari, iTunes for Windows, iCloud for Windows) (2018.12.06)

 watchOS 出ました。

ソフトバンク、通信障害の原因を公表 エリクソン製交換機ソフトの「期限切れ」
(ITmedia, 2018.12.07)

 ソフトバンク 2018.12.06 13:39〜18:04 通信障害の主原因は、エリクソン製交換機内の証明書の期限切れ (!!!) だったそうで。 海外でも同時刻に同様の状況になったそうで。

 ITmedia 記事、最後の 1 行がすごい。こんな締めはなかなかない wwww

証明書の期限切れでは、IoT機器の「うんこボタン」が全品交換となったことが記憶に新しい。

 本記事と、うんこボタンの記事は、どちらも松尾公也記者が執筆している。

 関連報道:

2018.12.10 追記:

 ソフトバンクが、プレス向けに説明会を開いたようです。 こういうのこそ、ネット中継すればいいのに。

 関連:

2018.12.13 追記:

 関連:


2018.12.06

Apple 方面 (iOS, tvOS, Shortcuts, macOS, Safari, iTunes for Windows, iCloud for Windows)
(Apple, 2018.12.05)

 watchOS の更新が出てませんね。

2018.12.07 追記:

 watchOS 出ました。

Security updates available for Flash Player | APSB18-42
(Adobe, 2018.12.05)

 Flash Player 32.0.0.101 公開。32 系列になりました。2 件の欠陥 CVE-2018-15982 CVE-2018-15983 を修正。前者については、攻略コードが野に放たれている。 Priority: 1 (Linux 版は 3)。

 Solution の Product 欄に Adobe Flash Player Installer という項が新設されており、脆弱なもの: 31.0.0.108 以前、修正版: 31.0.0.122 となっている。 これは何だろう。この組みあわせは APSB18-35 で見られるものなのだが。 そういえば、APSB18-42 という番号も妙に古いのだよなあ。 前回の Flash 更新は APSB18-44 だった。


2018.12.05

SSRF(Server Side Request Forgery)徹底入門
(徳丸浩の日記, 2018.12.05)

 クラウド時代には、こういうのがふつうになるのかな。

いろいろ (2018.12.05)
(various)

Kubernetes

オムロン FA 統合ツールパッケージ CX-One

PostgreSQL

moodle

  • Moodle 3.5.3 and other minor versions released (moodle, 2018.11.12)

    Once again there are a number of GDPR improvements as well as other fixes. A reminder that the Policies and Data Privacy GDPR plugins on the plugin database are no longer being updated since they are now part of the stable releases and the updates are included in 3.5.3, 3.4.6 and 3.3.9.

    From Moodle 3.6 onwards (release scheduled for November 26th) we will no longer backport new privacy features to the stable releases.
  • MSA-18-0020: Login CSRF vulnerability in login form (moodle, 2018.11.19)

Samba

RICOH Interactive Whiteboard

EC-CUBE

パナソニック BN-SDWBP3

Cisco Prime License Manager、Cisco Energy Management Suite

Chrome Stable Channel Update for Desktop
(Google, 2018.12.04)

 Chrome 71.0.3578.80 が stable に。43 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。

 関連: 快適なWeb閲覧を妨げる悪質行為を遮断 ~「Google Chrome 71」が正式公開 (窓の杜, 2018.12.05)


2018.12.04

SYMSA1468 - Norton and SEP Multiple Issues
(Symantec, 2018.11.28)

 Norton, SEP, SEP SBE, SEP Cloud に複数の欠陥。


2018.12.03

いろいろ (2018.12.03)
(various)

PowerDNS Recursor

Wireshark

GPU side channel attacks

Google Chrome


[セキュリティホール memo]
[私について]