セキュリティホール memo - 2021.02

Last modified: Mon Mar 30 12:18:31 2021 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.02.26


2021.02.25

Firefox 86.0 / ESR 78.8.0 公開
(Mozilla, 2021.02.23)

 Thunderbird 78.8.0 も出ています。

 iida さん情報ありがとうございます。

VMSA-2021-0002 - VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2021-21972, CVE-2021-21973, CVE-2021-21974)
(VMware, 2021.02.23)

 vCenter Server / ESXi 6.5 / 6.7 / 7.0 に 3 件のセキュリティ欠陥

 vCenter Server 6.5 U3n / 6.7 U3l / 7.0 U1c、vCloud Foundation 4.2 / 3.10.1.2 で修正されている。ESXi 6.5 / 6.7 / 7.0 には patch が提供されている。

2021.02.25 追記:

 JPCERT/CC から CVE-2021-21972 についての注意喚起が出ている。

 VMware から CVE-2021-21972 と CVE-2021-21973 の回避策が示されている。

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

 関連:


2021.02.24


2021.02.22


2021.02.19

追記

(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2020-8625) - GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 - (2021.02.18)

 BIND 9.6.12 / 9.6.12-S1 / 9.17.10 の serve-stale 機能に追加された stale-answer-client-timeout 機能に不具合があり、 予期せずサーバーが落ちることがある模様。

 回避するには、stale-answer-enable を no にするか、 stale-answer-client-timeout を 0 にするか、 stale-answer-client-timeout を off にする。


2021.02.18

追記

Android版接触確認アプリの障害について (2021.02.05)

 関連:

 1.2.2 出ました。今回の件は修正されたようです。

  • 接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました (厚生労働省, 2021.02.18)

    Android端末で本アプリをご利用の場合に、陽性者との接触について通知を受けることができなかった問題について解消を図りました。
    ※Android端末で本アプリをご利用の場合に、1メートル以内15分以上の条件に該当する陽性者との接触があった場合、本来通知すべきより  も多い接触件数が表示される可能性がありましたがこの問題もあわせて解消しました。

    ……「図りました」? 本当に修正されたの?

    以下は別件:

    Android端末で本アプリに陽性となった旨の登録を行った場合、iOS13.5を搭載した端末では、陽性者との接触があっても通知を受け取ることができない事例が見つかりました。 (中略) iOS14シリーズでは通知を受け取ることができることが確認できていますのでOSを最新版にアップデートした上で本アプリをご利用いただくようお願いします。

    COCOA修正版配布 厚労相「iPhoneも不具合」 (朝日, 2021.02.18) は上記の別件の話の模様。

    あと、iPhone 版 COCOA において特定条件で初期化されてしまう件は未修正の模様。

    また、この度、Android端末において陽性者との接触を通知することができない不具合の解消を図りましたが、これとは異なる原因によりiOS端末で接触を通知できないケースがあるのではないか、との指摘がGitHub(※)においてなされています。順次、調査を行い、不具合の解消に努めてまいります。

    こちら?: 接触チェックに漏れが発生する可能性について #17 (GitHub)

Chrome Stable Channel Update for Desktop
(Google, 2021.02.16)

 Chrome 88.0.4324.182 公開。10 件のセキュリティ修正を含む。

OpenSSL Security Advisory [16 February 2021]
(OpenSSL, 2021.02.16)

 OpenSSL 1.1.1 / 1.0.2 に 3 件のセキュリティ欠陥 (Moderate x 1、Low x 2)。 iida さん情報ありがとうございます。

セキュリティ欠陥 Severity OpenSSL
1.1.1x 1.0.2x
Null pointer deref in X509_issuer_and_serial_hash() (CVE-2021-23841) Moderate 1.1.1i 以前 1.0.2x 以前
Incorrect SSLv2 rollback protection (CVE-2021-23839) Low SSLv2 はサポートしない 1.0.2s 〜 1.0.2x
Integer overflow in CipherUpdate (CVE-2021-23840) Low 1.1.1i 以前 1.0.2x 以前

 OpenSSL 1.1.1j で修正されている。またプレミアサポート加入者は OpenSSL 1.0.2y で修正されている。

(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2020-8625) - GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
(JPRS, 2021.02.18)

 BIND 9.5.0 以降の BIND 9.x に欠陥。GSS-TSIG 実装に欠陥があり、 remote から任意のコードを実行できる。 BIND 9.16.12 / 9.11.28 で修正されている。

 欠陥が発現するのは、tkey-gssapi-keytab または tkey-gssapi-credential オプションを有効にしている場合のみ。たとえば AD / Samba 連携をしている場合は有効になっているはず。

 関連:

2021.02.19 追記:

 BIND 9.6.12 / 9.6.12-S1 / 9.17.10 の serve-stale 機能に追加された stale-answer-client-timeout 機能に不具合があり、 予期せずサーバーが落ちることがある模様。

 回避するには、stale-answer-enable を no にするか、 stale-answer-client-timeout を 0 にするか、 stale-answer-client-timeout を off にする。


2021.02.16

いろいろ (2021.02.16)
(various)

LavaBird LTD Barcode Scanner

追記

楽天とPayPayがつまずいたセールスフォース製品の「設定不備」、被害は氷山の一角か (2021.01.22)


2021.02.15


2021.02.12

いろいろ (2021.02.12)
(various)

Apache Subversion

Squid

Intel 方面

  • Intel製品に関する複数の脆弱性について (JPCERT/CC, 2021.02.10)。 Ethernet I210 Controller、RealSense DCM、Collaboration Suite for WebRTC、 Server Boards / Server Systems / Compute Modules、 Optane DC Persistent Memory、Graphics Drivers、 Server Board Onboard Video Driver、SGX Platform、SGX Platform Software、 EPID SDK、PROSet/Wireless WiFi and Killer Driver、XTU、 Quartus Prime、XMM 7360 Cell Modem、Ethernet Controllers、 SSD Toolbox、Ethernet E810 Adapter Driver、 SOC Driver Package、Trace Analyzer and Collector、 Security Center。今月は大量ですね。

各種組込用 TCP/IP スタック

  • JVNVU#90767599 - 複数のTCP/IPスタック製品における初期シーケンス番号の脆弱性 (JVN, 2021.02.12)

    影響を受けるシステム
    • Nut/Net Version 5.1 およびそれ以前
    • CycloneTCP Version 1.9.6 およびそれ以前
    • NDKTCPIP Version 2.25 およびそれ以前
    • FNET Version 4.6.3
    • uIP-Contiki-OS Version 3.0 およびそれ以前
    • uC/TCP-IP Version 3.6.0 およびそれ以前
    • uIP-Contiki-NG Version 4.5 およびそれ以前
    • uIP Version 1.0 およびそれ以前
    • picoTCP-NG Version 1.7.0 およびそれ以前
    • picoTCP Version 1.7.0 およびそれ以前
    • MPLAB Net Version 3.6.1 およびそれ以前
    • Nucleus NET Version 5.2 より前のすべてのバージョン
    • Nucleus ReadyStart for ARM、MIPS、PPC Version 2012.12 より前のすべてのバージョン

Python

Adobe 方面 (Magento、Acrobat / Reader、Photoshop、Animate、Illustrator、Dreamweaver)
(Adobe, 2021.02.09)

 出てます。

macOS Big Sur 11.2.1、macOS Catalina 10.15.7 追加アップデート、macOS Mojave 10.14.6 セキュリティアップデート 2021-002 のセキュリティコンテンツについて
(Apple, 2021.02.09)

 Intel Graphics Driver の件 2 件 CVE-2021-1805 CVE-2021-1806 と sudo の件 CVE-2021-3156 が修正されています。

追記

2021 年 2 月のセキュリティ更新プログラム (月例) (2021.02.10)

 Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086 (MSRC Blog, 2021.02.09) の日本語版出ました:

 あと、0-day 方面いろいろ。ゆりか先生のツイートから:

sudoの脆弱性(CVE-2021-3156)に関する注意喚起 (2021.01.27)

Firefox 85.0 / ESR 78.7.0 公開 (2021.01.27)

 Firefox 85.0.2 が公開されました。 セキュリティ修正はありません。

  • Firefox 85.0.2 がリリースされた (MozillaZine, 2021.02.10)。「起動時にデッドロックする問題を修正 (bug 1679933)」。

    Firefox ESR 78.7.1 もこの問題の影響を受けるが、次のマイナーアップデートでの修正となる見込みである。Firefox for Android 85 はこの問題の影響を受けない。

    Bug 1679933 - Firefox freeze on the startup (Mozilla) では、この問題は新規プロファイル時にのみ発生、とされている。


2021.02.10

2021 年 2 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.02.10)

 Microsoft 2021.02 patch 公開。 セキュリティ更新プログラム ガイド > リリース ノート > 2021 Feb より:

今回のリリースは、次の製品、機能、およびロールのセキュリティ更新プログラムで構成されています。

 SysInternals は PsExec だそうで: Sysinternals PsExec の特権の昇格の脆弱性 - CVE-2021-1733 (MSRC)。最新版は PsExec 2.32 のようなのだけれど、 2.32 でも直り切っていないとの指摘あり。

 TCP/IP スタックの欠陥修正が 3 件。

2021.02.12 追記:

 Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086 (MSRC Blog, 2021.02.09) の日本語版出ました:

 あと、0-day 方面いろいろ。ゆりか先生のツイートから:


2021.02.09

Chrome Stable Channel Update for Desktop
(Google, 2021.02.04)

 Chrome 88.0.4324.150 公開。V8 で heap overflow が発生する 0-day 欠陥 1 件 CVE-2021-21148 (severity: High) を修正。

追記

macOS Big Sur 11.2、セキュリティアップデート 2021-001 Catalina、セキュリティアップデート 2021-001 Mojave のセキュリティコンテンツについて (2021.02.01)

 Safari 14.0.3 (Apple, 2021.02.01)。macOS Big Sur 11.2 の修正項目に入っている 3 件 (WebKit x 2、WebRTC x 1) が対応された、Catalina / Mojave 用 Safari 出てました。 iida さん情報ありがとうございます。


2021.02.08

追記

Firefox 85.0 / ESR 78.7.0 公開 (2021.01.27)

 Firefox 85.0.1 / ESR 78.7.1、Thunderbird 78.7.1 が公開されました。 Firefox はセキュリティ修正を含みます。

SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起
(JPCERT/CC, 2021.02.08 更新)

 SonicWall SMA 100 シリーズ (物理アプライアンス SMA 200 / 210 / 400 / 410 および仮想アプライアンス SMA 500v) に欠陥。ファームウェア 10.x に 0-day 欠陥があり、詳細は不明だが、remote から 無認証で侵入可能な模様。

 ファームウェア 10.2.0.5-d-29sv で修正されている。 Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST] (SonicWall) に記載されている推奨手順は以下のとおり:

  1. ファームウェアを 10.2.0.5-d-29sv にアップデート

  2. Web インターフェイス経由で機器にログインしたユーザーのパスワードをリセット

  3. 多要素認証 (MFA) を有効に

 ただし、SMA 500v の更新イメージファイルはまだ用意されていない模様。

 直ちに更新できない場合、内蔵 WAF 機能を有効にすることで欠陥を回避できる。WAF 機能は有償だが、60 日間有効なライセンスが無償提供されている。 ただしこれは、ファームウェア更新を代替するものではないとされている。

 SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起 (JPCERT/CC, 2021.02.08 更新) には、log からの状況確認方法が追記されている。

1. 管理用インターフェースへのアクセスにおける認証回避

アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避され管理用インターフェースへアクセスが行われた可能性があります。

2. ユーザー用インターフェースへのアクセスにおける認証回避

アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエストを検索し、当該ログの前に/cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避されユーザー用インターフェースへアクセスが行われた可能性があります。

ESP32-WROOM-32Eについて、従来品との違い
(kmitsu76 / qiita, 2020.11.03)

 ESP32-WROOM-32E では、ESP32-WROOM-32D / ESP32-WROOM-32 に存在したハードウェア上のセキュリティ欠陥が修正されているそうで。

 kmitsu76 氏による本文書で、CVE-2019-17391 について解説されている。 末尾にあるまとめがこちら:

つまり、 ということになり、ESP32を使用するユーザーでフラッシュ内容を秘匿する必要がある場合はESP32-D0WD-V3チップを搭載するデバイス、つまりESP32-WROOM-32Eを使う必要があるということになる。

 秋月の表記:

 あと、 Security Advisory concerning fault injection and eFuse protections (CVE-2019-17391) (espressif.com, 2019.11.01) にはこんな表記があるのだが、

The forthcoming ESP32-S2 SoC has additional hardware and ROM code provisions to protect against fault injection, including against this attack. ESP32-S2 also uses the Secure Boot V2 scheme.

 ESP32-S2 はシングルコアだったり BLE がなかったりするので、 ふつうの ESP32 と簡単に置きかえられるようなものではない。 デュアルコア、BLE あり、AI 対応の ESP32-S3 というのが最近発表された模様。


2021.02.05

Android版接触確認アプリの障害について
(厚生労働省, 2021.02.03)

 Android 版 COCOA、2020.09.28 の更新以降、陽性登録者と「1m以内・15分以上」接触しても通知しない欠陥が発生。iPhone 版にはこの欠陥はない。

 本障害は、昨年9月28日のバージョンアップに伴って生じたものです。その後、本アプリ改修時には、テスト環境を用いて必要なテストを実施してきましたが、その際のテスト内容は、本アプリの基盤となっている接触通知APIから出力される接触リスクに関する値を前提とした模擬的な検証を行うものでした。
 しかしながら、陽性者と接触しているはずであるが本アプリで通知がこなかった旨の報道を受け、従来の模擬的な検証に加えて実機を用いた動作検証を行ったところ、接触リスクに関する値がAndroid端末については想定と異なる形で接触通知APIから出力され、その結果、接触が正しく通知されないこととなっていることが判明したものです。

 実機テストしてませんでしたと。 加えて、2020.11.25 に不具合報告されたにもかかわらず放置されていたことが判明している。

 現在修正作業中。2021年2月中旬のリリースを予定。

 関連:

2021.02.09 追記:

 各社社説

 関連

2021.02.18 追記:

 関連:

 1.2.2 出ました。今回の件は修正されたようです。


2021.02.04

追記

sudoの脆弱性(CVE-2021-3156)に関する注意喚起 (2021.01.27)

 sudoコマンドの脆弱性、「macOS」にも影響 (ZDNet, 2021.02.04)。macOS 上ではまだ直ってない模様。

いろいろ (2021.02.04)
(various)

Wireshark

トレンドマイクロ ウイルスバスタークラウド

トレンドマイクロ ウイルスバスタービジネスセキュリティ / ビジネスセキュリティサービス

トレンドマイクロ スマートホームスキャナー

macOS Big Sur 11.2、セキュリティアップデート 2021-001 Catalina、セキュリティアップデート 2021-001 Mojave のセキュリティコンテンツについて
(Apple, 2021.02.01)

 macOS 10.14.6 / 10.15.7 / 11.0.1 の、計 66 件のセキュリティ欠陥を修正。 36 件は任意のコードの実行を招くもの。0-day の修正が 3 件 (権限上昇 x 1、任意のコードの実行を招く x 2)。

2021.02.09 追記:

 Safari 14.0.3 (Apple, 2021.02.01)。macOS Big Sur 11.2 の修正項目に入っている 3 件 (WebKit x 2、WebRTC x 1) が対応された、Catalina / Mojave 用 Safari 出てました。 iida さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
(Google, 2021.02.02)

 Chrome 88.0.4324.146 公開。6 件のセキュリティ修正を含む。


2021.02.03


2021.02.02


[セキュリティホール memo]
[私について]