セキュリティホール memo - 2019.12

Last modified: Wed Mar 18 15:11:43 2020 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2019.12.27


2019.12.26


2019.12.25

いろいろ (2019.12.25)
(various)

GeForce Experience

hostapd, Linux

VNC, TigerVNC

追記

神奈川県庁行政文書 大量流出事件 (2019.12.06)


2019.12.24

追記

いろいろ (2019.12.12): OpenSSL

 OpenSSL version 1.0.2u published (OpenSSL, 2019.12.20)。iida さん情報ありがとうございます。

いろいろ (2019.12.24)
(various)

Twitter for Android


2019.12.23

Endpoint Protection を使用していると Google Chrome バージョン 78.0.x で "このウェブページの表示中に問題が発生しました" エラーが発生する
(シマンテック, 2019.12.17)

 Chrome 78 / 79 + SEP + Windows 10 / Server 2016 / Server 2019 で不具合が起こるそうで。「エラー このウェブページの表示中に問題が発生しました」ってなっちゃう。以下の画面は Chrome 78 + SEP 14.0 RU1 MP2 (14.0.3929.1200) + Windows 10 バージョン 1803 で採取。

 SEP 14.2 以降 + Windows 10 バージョン 1703 以降 / Server 2019 で対応されている。それ以前の OS (Windows 10 バージョン 1607 / Enterprise 2016 LTSC、Server 2016) については未対応。

 回避方法


2019.12.20

追記

2019 年 12 月のセキュリティ更新プログラム (月例) (2019.12.11)

 Microsoft Releases Information on CVE-2019-1491 (US-CERT, 2019.12.18)。SharePoint Server。

神奈川県庁行政文書 大量流出事件 (2019.12.06)

 関連:

  • クラウドにおける安全なデータの廃棄 (Amazon Web Services ブログ, 2019.12.19)

    AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。お客様はこうした第三者のレポートをAWS Artifactから入手することが可能です。
    統制の一例として、ストレージ領域をデフォルトで暗号化を行う設定とすることで第三者によるアクセスへの保護を実現します。そしてEBSやS3 Bucketを削除する際には、あわせて当該領域の暗号化に用いた鍵をAWS Lambdaを使用してKMSより削除します。これにより従来行っていた当該データの復号が困難になるとともに廃棄証明の代わりとして、暗号化による保護を実施した記録をお客様自身で自動的に取得、管理することができるようになります。鍵へのアクセスが無くなることで、当然AWSによっても、またお客様も廃棄されたデータへのアクセスはできなくなります。

いろいろ (2019.12.20)
(various)

WordPress

Intel Rapid Storage Technology

VeraCrypt

Apache Tomcat

サイボウズ Office

Apple SecureROM

  • JVNVU#95417700 - 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性 (JVN, 2019.12.20)

    プロセッサチップ A5 から A11 を搭載する次の製品

    iPhones 4s から iPhone X まで
    iPad 第 2 世代から 第 7 世代まで
    iPad Mini 第 2 世代および 第 3 世代
    iPad Air および iPad Air 2
    iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代
    Apple Watch Series 1 から Series 3 まで
    Apple TV 第 3 世代 および 4k
    iPod Touch 第 5 世代 から 第 7 世代
    本脆弱性は読み取り専用の SecureROM に存在するため、ファームウェアアップデートなどによる対策ができません。
    脆弱性を含まない製品へ移行してください。

CMS「Drupal」に複数の脆弱性 - アップデートが公開
(Security NEXT, 2019.12.20)

 Drupal 8.8.1 / 8.7.11 / 7.69 公開。4 件のセキュリティ欠陥を修正。


2019.12.19

いろいろ (2019.12.19)
(various)

SpamAssassin

Git

  • Multiple vulnerabilities fixed in Git (oss-sec ML, 2019.12.13)。2.24.1, 2.23.1, 2.22.2, 2.21.1, 2.20.2, 2.19.3, 2.18.2, 2.17.3, 2.16.6, 2.15.4, 2.14.6 で修正されているそうで。

Dovecot

Django


2019.12.18

Chrome Stable Channel Update for Desktop
(Google, 2019.12.17)

 Chrome 79.0.3945.88 公開。1 件のセキュリティ修正を含む。

追記

Chrome Stable Channel Update for Desktop (2019.12.10)

 修正版が出たようです。

神奈川県庁行政文書 大量流出事件 (2019.12.06)

 関連:


2019.12.17

追記

Chrome Stable Channel Update for Desktop (2019.12.10)

 Google、不具合発生により Chrome 79 for Android の配信を中止。

 関連:

2019 年 12 月のセキュリティ更新プログラム (月例) (2019.12.11)

 今回修正された 0-day の件:

 不具合情報: Windows Server 2012 に適用すると、無限に再起動することがあるそうです。

  • Windows Server 2012 が更新プログラム適用後に再起動ループして OS が起動できなくなる問題について (Microsoft)

    原因:
    7 月から 11 月にリリースされたサービス スタック更新プログラムのパッケージに問題があり、古いサービス スタック更新プログラムの削除処理と更新プログラムの適用処理が競合し、再起動を繰り返す現象が発生します。

    今回の更新プログラムではなく、11 月以前の更新プログラムの方に問題があったと。

    <対処方法>
    他の更新プログラムを適用する前に、12 月のサービス スタック更新プログラム (KB4532920) を単体で適用 (再起動含む) ください。

    タイトル: Servicing stack update for Windows Server 2012: December 10, 2019
    アドレス: https://support.microsoft.com/en-us/help/4532920/servicing-stack-update-for-windows-server-2012

    <現象発生時の対処方法>
    現象発生時の対処として、以下 2 通りによる復旧の報告を確認しております。

    - セーフモードで起動を試行すると、セーフモードの起動に失敗しその後通常起動する。
    - セーフモードで起動し、その後再度通常起動する。

2019.12.16


2019.12.12

追記

神奈川県庁行政文書 大量流出事件 (2019.12.06)

 関連:

Apple 方面 (tvOS, iOS, iPadOS, watchOS, macOS, Safari, iCloud / iTunes for Windows, Xcode)
(Apple, 2019.12.10)

 出てます。

いろいろ (2019.12.12)
(various)

Intel SGX

Symantec Messaging Gateway

Symantec Industrial Control System Protection

Windows Hello for Business

Knot Resolver

Linux Kernel

FreeRADIUS

Samba

Intel

VMware ESXi, Horizon DaaS

Git

KeepKey

OpenSSL


2019.12.11

2019 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2019.12.11)

 出ました。Windows、IE、 Office、 SQL Server、 Visual Studio、 Skype for Business。

 関連:

2019.12.17 追記:

 今回修正された 0-day の件:

 不具合情報: Windows Server 2012 に適用すると、無限に再起動することがあるそうです。

2019.12.20 追記:

 Microsoft Releases Information on CVE-2019-1491 (US-CERT, 2019.12.18)。SharePoint Server。

Adobe 方面 (Acrobat / Reader, Photoshop, Brackets, ColdFusion)
(Adobe, 2019.12.10)

 出ました。

Chrome Stable Channel Update for Desktop
(Google, 2019.12.10)

 Chrome 79.0.3945.79 が stable に。51 件のセキュリティ修正を含む。 Chrome for Android 79.0.3945.79 も出てます。

2019.12.17 追記:

 Google、不具合発生により Chrome 79 for Android の配信を中止。

 関連:

2019.12.18 追記:

 修正版が出たようです。


2019.12.10


2019.12.09

追記

神奈川県庁行政文書 大量流出事件 (2019.12.06)

 関連:


2019.12.06

いろいろ (2019.12.06)
(various)

Norton Password Manager

Linux Kernel

OpenBSD

神奈川県庁行政文書 大量流出事件
(朝日, 2019.12.06)

 HDD のデータ消去・廃棄作業を外部委託したら、消去されないまま外部委託先から持ち出され、市場に出回ってしまった話。

 オフィシャル

 関連

2019.12.09 追記:

 関連:

2019.12.12 追記:

 関連:

2019.12.18 追記:

 関連:

2019.12.20 追記:

 関連:

2019.12.25 追記:

 関連:


2019.12.05

いろいろ (2019.12.05)
(various)

HP Enterprise

Android

Wireshark

Firefox 71.0 / ESR 68.3.0、Thunderbird 68.3 公開
(Mozilla, 2019.12.03)

 出ました。


2019.12.04


2019.12.03

追記

2019 年 11 月のセキュリティ更新プログラム (月例) (2019.11.13)

いろいろ (2019.12.03)
(various)

Symantec Critical System Protection

Django

ansible

phpMyAdmin


2019.12.02

いろいろ (2019.12.02)
(various)

bash

squid

ProFTPd

カスペルスキー インターネット セキュリティ 2019 / 2020

LanScope Cat / An

Moodle

追記

マルウエア Emotet の感染に関する注意喚起 (2019.11.29)

 関連:

  • 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて (IPA, 2019.12.02)

    Emotetへの感染を狙う攻撃メールの中には、正規のメールへの返信を装う手口が使われている場合があります。これは、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容等の一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールです(*1)。
  • マルウエアEmotetへの対応FAQ (JPCERT/CC Eyes, 2019.12.02)


[セキュリティホール memo]
[私について]