セキュリティホール memo - 2021.09

Last modified: Thu Mar 21 17:43:55 2024 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.09.30

追記

中国製の携帯電話に検閲機能、リトアニア政府が不買・処分を勧告 (2021.09.24)

いろいろ (2021.09.30)
(various)

Ghostscript/GhostPDL

NETGEAR WiFi ルーター製品

トレンドマイクロ スマートホームスキャナー(Windows版)

トレンドマイクロ ServerProtect

サイボウズ リモートサービス

Moodle

Hikvision 製ネットワークカメラ

Keeping Track of Time: Network Time Protocol and a GPSD Bug
(SANS ISC, 2021.09.29)

 gpsd 3.20-3.22 に欠陥。日付が October 24, 2021 (第 2180 週) に到達すると、1024 週前 (March 10, 2002) に戻ってしまうみたい。

 gpsd 3.23.1 で修正されている模様


2021.09.29

AirTag紛失モードの脆弱性により、悪意あるサイトにリダイレクトされる可能性
(iPhone Mania, 2021.09.29)

 元ねた: Apple AirTag Bug Enables ‘Good Samaritan’ Attack (Krebs on Security, 2021.09.28)。 AirTag を「紛失モード」にすると、連絡先としてメールアドレスと電話番号を入力できるのだが、 電話番号欄に任意のスクリプトを設定できてしまう模様。

AirTagを見つけた人が、iPhoneやNFC対応のスマートフォンの上部をAirTagの白い面にかざすと、持ち主の連絡先が記載されたURLに自動的に誘導されます。持ち主の連絡先情報を閲覧するために、ログインしたり個人情報を入力する必要はありません。

Krebs on Securityによると、紛失モードではユーザーが、任意のコンピュータコードを電話番号フィールドに挿入することを防ぐことができないため、AirTagをスキャンした人は、偽のiCloudログインページや悪意のあるWebサイトにリダイレクトされる可能性があるとのことです。

 問題発見者 Bobby Rauch 氏のページ Zero-Day: Hijacking iCloud Credentials with Apple Airtags (Stored XSS) (Bobbyr / medium.com, 2021.09.29) に詳細が記されている。

 Krebs on Security によると、 Bobby Rauch 氏は 6月20日に Apple に通知したが、90 日経過しても修正されない上、 いつ修正される予定か、security advisory にクレジットされるか、Apple のバグバウンティプログラムに該当するかといった基本的な質問への回答も示されなかったため、公開に踏み切ったのだそうで。 Apple の対応の悪さについては iOS 15 の 0-day の件 でも証言されていて、どうやら本当みたい。

追記

Apple 方面 (iOS / iPadOS / tvOS 15、watchOS 8、Xcode 13、Safari 15、iTunes 12.12 for Windows) (2021.09.21)

  illusionofchaos 氏、Apple の対応の悪さに業を煮やし、2021 年 3月〜5月に Apple に報告済みの iOS 15 の 0-day 欠陥 3 件を公開。


2021.09.28

Microsoft Exchange の Autodiscover 機能の副作用で認証情報が漏洩している件
(various)

 Microsoft って、本当にこういうの好きなのですね。


2021.09.27

VMSA-2021-0020.1 - VMware vCenter Server updates address multiple security vulnerabilities
(VMware, 2021.09.24 更新)

 vCenter Server 6.5〜7.0、Cloud Foundation 3.x / 4.x に複数のセキュリティ欠陥。

 Critial と評価されている CVE-2021-22005 は vCenter Server 6.7 / 7.0、Cloud Foundation 3.x / 4.x に影響。

 vCenter Server 6.5 U3q / 6.7U3o / 7.0U2c、Cloud Foundation 4.3 (KB85718) / 3.10.2.2 (KB85719) で修正されている。

追記

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに (2019.01.31)

Chrome Stable Channel Update for Desktop
(Google, 2021.09.24)

 Chrome 94.0.4606.61 公開。1 件の 0-day 欠陥 CVE-2021-3797 を修正。


2021.09.24

追記

FORCEDENTRY - NSO Group iMessage Zero-Click Exploit Captured in the Wild (2021.09.14)

中国製の携帯電話に検閲機能、リトアニア政府が不買・処分を勧告
(ロイター, 2021.09.22)

 元ねたはこちら:

 調査対象は Huawei P40 5G、Xiaomi Mi 10T 5G、OnePlus 8T 5G の 3 つ。 このうち Huawei P40 5G と Xiaomi Mi 10T 5G に問題が見つかった。

  1. ファーウェイのオフィシャルストア AppGallery でアプリを検索したとき、当該アプリが見つからないと、3rd party サイトにリダイレクトされてしまう。 そういったサイトにはウイルス入りアプリとか悪意のあるアプリがあったりする。

  2. シャオミの Mi Browser は、ユーザーのさまざまな活動状況を収集してシンガポールのサーバーに送信している。 この他、Google Analystic にも送信している。

  3. シャオミの複数のアプリには、シンガポールにある globalapi.ad.xiaomi.com から定期的にダウンロードした MiAdBlacklistConfig に含まれる複数の文字列 (free tibet を意味する「西藏自由」など) を検閲削除する機能がある。 現在の EU 内ではこの機能は無効化されているものの、シャオミはいつでも remote から有効にできる。

  4. シャオミのスマホで Xiaomi Cloud を利用する場合、SIM カードの登録が必須となるが、 送信される複数の SMS メッセージはスマホ上には表示されない。 これはユーザーデータ漏洩のリスクである。

 1 が Huawei P40 5G、2〜4 が Xiaomi Mi 10T 5G に該当。 OnePlus 8T 5G には、そういった問題は見つからなかったようです。

 こういう話は米国から出てくるものだとばかり思っていたのですが、リトアニアから出てくるとは。

 あと、Things your smartphone does without your awareness: investigation into three China-made 5G devices (Ministry of National Defence Republic of Lithuania, 2021.09.21) ではこんなことが書かれているのだけど、

Chinese manufacturers Huawei, Xiaomi and OnePlus introduced fifth generation, 5G, mobile communication-supporting smartphones into the Lithuanian market in 2020. According to the international Vulnerabilities and Exposures (https://cve.mitre.org) database, cybersecurity risks have been identified on devices from all the mentioned manufacturers in the recent four years. 9 vulnerabilities concerning personal data security were found in Xiaomi products, 144 vulnerabilities , most of which concerned interference with device functionalities, were identified on Huawei products, and one vulnerability was found on OnePulse products, its concerned a third country app that sent SMS messages even when the device was locked.

 それを言ったら、他のスマホメーカーも似たりよったりなのでは。 0-click 欠陥でヤラレまくりの iPhone なんてどうなるのよさ。

 報道:

2021.09.30 追記:

 Xiaomiが「特定単語を検閲している」というリトアニア国防省の報告に異議 (gigazine, 2021.09.28)。苦しい言いわけ。

追記

Apple 方面 (iOS / iPadOS / tvOS 15、watchOS 8、Xcode 13、Safari 15、iTunes 12.12 for Windows) (2021.09.21)

 iTunes 12.12 for Windows には起動しなくなる不具合があったそうで、12.12.1 がリリースされた。 Apple は、どういうテストをしているんだろう。


2021.09.21

Apple 方面 (iOS / iPadOS / tvOS 15、watchOS 8、Xcode 13、Safari 15、iTunes 12.12 for Windows)
(Apple, 2021.09.20)

 出ました。

 また、iOS / iPadOS 14.8、macOS Big Sur 11.6、Security Update 2021-005 Catalina には上記に準じた修正があらかじめ施されていた模様。

 iPadOS 14.8 がインストールされている手元の iPad を確認したところ、OS は最新で、iPadOS 15 へのアップグレードもできるよ、と表示されている。今のところ、急いで iPadOS 15 にする必要はなさそう。

2021.09.24 追記:

 iTunes 12.12 for Windows には起動しなくなる不具合があったそうで、12.12.1 がリリースされた。 Apple は、どういうテストをしているんだろう。

2021.09.29 追記:

  illusionofchaos 氏、Apple の対応の悪さに業を煮やし、2021 年 3月〜5月に Apple に報告済みの iOS 15 の 0-day 欠陥 3 件を公開。


2021.09.20

追記

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)

 不具合情報


2021.09.17

いろいろ (2021.09.17)
(various)

ManageEngine ADSelfService Plus

Apache HTTP Server

  • Changes with Apache 2.4.49 (apache, 2021.09.16)

  • Fixed in Apache HTTP Server 2.4.49 (apache, 2021.09.16)。high はひさしぶりに見た気がする。mod_proxy 利用者はご注意を。

    • moderate: Request splitting via HTTP/2 method injection and mod_proxy (CVE-2021-33193)
    • moderate: NULL pointer dereference in httpd core (CVE-2021-34798)
    • moderate: mod_proxy_uwsgi out of bound read (CVE-2021-36160)
    • low: ap_escape_quotes buffer overflow (CVE-2021-39275)
    • high: mod_proxy SSRF (CVE-2021-40438)
2021.12.03 追記:

WordPress

Drupal

Citrix ShareFile Storage Zones

SAP

EC-CUBE 用プラグイン「注文ステータス一括変更プラグイン」「一覧画面(受注管理)項目変更プラグイン」

シャープNECディスプレイソリューションズ製パブリックディスプレイ

追記

Adobe 方面 (Acrobat and Reader, ColdFusion, Creative Cloud Desktop Application, Digital Editions, Experience Manager, Framemaker, Genuine Service, InCopy, InDesign, Photoshop, Photoshop Elements, Premiere Elements, Premiere Pro, SVG-Native-Viewer, XMP Toolkit SDK) (2021.09.16)

いろいろ (2021.07.13) SolarWinds Serv-U

Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444 (2021.09.08)

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)

 関連:

2021 年 9 月のセキュリティ更新プログラム (月例) (2021.09.15)

 2021年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2021.09.15) が 2021.09.17 付で更新された。

2021年9月16日(米国時間)、Open Management Infrastructure(OMI)の複数の脆弱性についてマイクロソフトから追加情報が公開されました。脆弱性の影響を受ける対象となるMicrosoft Azureの拡張機能や、対策の実施方法などに関する情報が紹介されています。

Microsoft Security Response Center
Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions
https://msrc-blog.microsoft.com/2021/09/16/additional-guidance-regarding-omi-vulnerabilities-within-azure-vm-management-extensions/

これらの脆弱性の内、リモートコード実行の脆弱性(CVE-2021-38647)については、遠隔の第三者が、細工したPOSTリクエストを送信することで、認証不要でroot権限で任意のコマンドを実行する可能性があります。

JPCERT/CCは、本脆弱性(CVE-2021-38647)の詳細を解説する記事や、本脆弱性を悪用するとみられる実証コードが公開されていることを確認しています。マイクロソフトの情報を確認し、Microsoft Azureで影響を受ける拡張機能を使用している場合、速やかに対策実施を検討することを推奨します。

マイクロソフト株式会社
Open Management Infrastructure のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647

 CVE-2021-38645 CVE-2021-38647 CVE-2021-38648 CVE-2021-38649 の対象が、 Azure Open Management Infrastructure 単独から Azure Open Management Infrastructure, System Center Operations Manager (SCOM), Azure Automation State Configuration, DSC Extension, Azure Automation Update Management, Log Analytics Agent, Azure Diagnostics (LAD), Container Monitoring Solution, Azure Security Center に変化している。 一方で、Exploitability は Less Likely のまま。 関連:


2021.09.16

いろいろ (2021.09.16)
(various)

curl

  • Changelog: Fixed in 7.79.0 - September 15 2021 (curl, 2021.09.15)。3 件のセキュリティ修正を含む。iida さん情報ありがとうございます。

    CVE-2021-22945: clear the leftovers pointer when sending succeeds
    CVE-2021-22946: do not ignore --ssl-reqd
    CVE-2021-22947: reject STARTTLS server response pipelining

Apache Tomcat

  • JVNVU#92089088 - Apache Tomcatにおけるサービス運用妨害(DoS)の脆弱性 (JVN, 2021.09.16)。Tomcat 10.0.4 / 9.0.44 / 8.5.64 で修正済。 iida さん情報ありがとうございます。

  • https://tomcat.apache.org/security-10.html

    This issue was first reported to the Apache Tomcat Security Team by Thomas Wozenilek on 26 February 2021 but could not be confirmed. A speculative fix was applied on 3 March 2021. On 14 September 2021 David Frankson of Infinite Campus independently reported the issue and included a test case. This allowed both the issue and the speculative fix to be verified. The issue was made public on 15 September 2021.

    「speculative fix」が当たりだったと。

Adobe 方面 (Acrobat and Reader, ColdFusion, Creative Cloud Desktop Application, Digital Editions, Experience Manager, Framemaker, Genuine Service, InCopy, InDesign, Photoshop, Photoshop Elements, Premiere Elements, Premiere Pro, SVG-Native-Viewer, XMP Toolkit SDK)
(Adobe, 2021.09.14)

 やたら出た。とりあえず、 「Photoshop」や「Premiere Pro」に脆弱性 ~Adobeが15製品のセキュリティアップデートを実施 (窓の杜, 2021.09.15) あたりをご参照ください。(あとで直す予定)

2021.09.17 追記:

Chrome Releases: Stable Channel Update for Desktop
(Google, 2021.09.13)

 Chrome 93.0.4577.82 公開。11 件のセキュリティ修正を含む。 CVE-2021-30632 と CVE-2021-30633 は 0-day だそうです。

[$TBD][1247763] High CVE-2021-30632: Out of bounds write in V8. Reported by Anonymous on 2021-09-08
[$TBD][1247766] High CVE-2021-30633: Use after free in Indexed DB API. Reported by Anonymous on 2021-09-08

2021.09.15

追記

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起 (2021.07.05)

2021 年 8 月のセキュリティ更新プログラム (月例) (2021.08.23)

Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444 (2021.09.08)

2021 年 9 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.09.15)

 出ました。

 Exploitation More Likely:

  Exploitation Detected:

 関連:

2021.09.17 追記:

 2021年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2021.09.15) が 2021.09.17 付で更新された。

2021年9月16日(米国時間)、Open Management Infrastructure(OMI)の複数の脆弱性についてマイクロソフトから追加情報が公開されました。脆弱性の影響を受ける対象となるMicrosoft Azureの拡張機能や、対策の実施方法などに関する情報が紹介されています。

Microsoft Security Response Center
Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions
https://msrc-blog.microsoft.com/2021/09/16/additional-guidance-regarding-omi-vulnerabilities-within-azure-vm-management-extensions/

これらの脆弱性の内、リモートコード実行の脆弱性(CVE-2021-38647)については、遠隔の第三者が、細工したPOSTリクエストを送信することで、認証不要でroot権限で任意のコマンドを実行する可能性があります。

JPCERT/CCは、本脆弱性(CVE-2021-38647)の詳細を解説する記事や、本脆弱性を悪用するとみられる実証コードが公開されていることを確認しています。マイクロソフトの情報を確認し、Microsoft Azureで影響を受ける拡張機能を使用している場合、速やかに対策実施を検討することを推奨します。

マイクロソフト株式会社
Open Management Infrastructure のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647

 CVE-2021-38645 CVE-2021-38647 CVE-2021-38648 CVE-2021-38649 の対象が、 Azure Open Management Infrastructure 単独から Azure Open Management Infrastructure, System Center Operations Manager (SCOM), Azure Automation State Configuration, DSC Extension, Azure Automation Update Management, Log Analytics Agent, Azure Diagnostics (LAD), Container Monitoring Solution, Azure Security Center に変化している。 一方で、Exploitability は Less Likely のまま。 関連:


2021.09.14

FORCEDENTRY - NSO Group iMessage Zero-Click Exploit Captured in the Wild
(Citizen LAB, 2021.09.13)

 iMessage に新たな 0-day 欠陥。攻略 PDF によって任意のコードが実行される。 CVE-2021-30860

 iOS / ipadOS 14.8、watchOS 7.6.2 等で修正されている。

2021.09.24 追記:

 CVE-2021-30858 はこちら: WebKitGTK and WPE WebKit Security Advisory WSA-2021-0005 (oss-sec ML, 2021.09.20)

2021.10.05 追記:

 ついさっき気がついた orz のですが、iOS 12.5.5 が出ていたのですね。 CVE-2021-30860 (CoreGraphics)、 CVE-2021-30858 (WebKit)、 CVE-2021-30869 (XNU) が修正されている。 CVE-2021-30869 も 0-day。

 CVE-2021-30869 (XNU) については セキュリティアップデート 2021-006 Catalina でも修正されている。

 CVE-2021-30869 なのだが、なぜか MITRENIST では rejected になっている。よくわからん。

2021.11.03 追記:

 WebKitGTK and WPE WebKit Security Advisory WSA-2021-0006 (oss-sec ML, 2021.10.26)。 CVE-2021-30846 CVE-2021-30848 CVE-2021-30849 CVE-2021-30851 CVE-2021-30858 CVE-2021-42762

 CVE-2021-30869 が REJECTED になっていた件は、現在では修正されているようです。

2021.11.12 追記:

 関連:

2022.04.04 追記:

 関連:


2021.09.13

いろいろ (2021.09.13)
(various)

Go 言語

LINE

  • QRコードを用いた「LINE」へのログインに脆弱性、不正ログインも発生 (窓の杜, 2021.09.13)。 ログイン時の PIN コードの入力を回避できる欠陥。 修正済。

     本問題は2019年11月25日から2021年7月9日までの半年以上にわたり悪用可能な状態にあり、被害件数は確認できただけでも556件に上る。(中略)
     本脆弱性は2021年7月7月3日に「LINE Security Bug Bounty Program」を通じて報告され、7日に修正された。加えて、7月9日時点で確認された不正なログインをすべて無効化するとともに、8月2日に被害ユーザーへのお詫びの通知を行うなどの対応を行ったという。

2021.09.10

いろいろ (2021.09.10)
(various)

Android

追記

Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444 (2021.09.08)

 MSHTML Remote Code Execution Vulnerability CVE-2021-40444 (Microsoft) が 2021.09.09 付で改訂されました。 回避方法として「グループポリシーを使って ActiveX コントロールのダウンロードを無効にする方法」と「Windows エクスプローラーのプレビュー機能を無効にする方法」が追加されています。


2021.09.09

Firefox 92.0 / ESR 91.1 / ESR 78.14.0、Thunderbird 78.14.0 / 91.1 公開
(Mozilla, 2021.09.07)

 出ました。セキュリティ修正を含みます。


2021.09.08

Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444
(Microsoft, 2021.09.07)

 Windows に 0-day 欠陥。MSHTML の処理に欠陥があり、 攻略 ActiveX コントロールを埋め込まれた Office 文書を開くと任意のコードが実行される。

 更新プログラムはまだない。Internet Explorer の全てのゾーンで ActiveX コントロールのインストールを無効にすることで回避できる。 設定用 .reg ファイルが解説されている。 設定を有効にするには .reg 適用後に再起動が必要。

 関連:

2021.09.10 追記:

 Microsoft MSHTML Remote Code Execution Vulnerability CVE-2021-40444 (Microsoft) が 2021.09.09 付で改訂されました。 回避方法として「グループポリシーを使って ActiveX コントロールのダウンロードを無効にする方法」と「Windows エクスプローラーのプレビュー機能を無効にする方法」が追加されています。

2021.09.15 追記:

 2021 年 9 月のセキュリティ更新プログラム (月例) で修正されました。

2021.09.17 追記:

 関連:

2021.10.22 追記:

 情報窃取型マルウェア「FormBook」がOffice 365ゼロデイ脆弱性(CVE-2021-40444)を悪用 (トレンドマイクロ セキュリティ blog, 2021.10.11)


2021.09.07

追記

隠れオープンリゾルバのスキャナを作ってみた (2021.05.18)


2021.09.06

いろいろ (2021.09.06)
(various)

ウイルスバスター クラウド


2021.09.03


2021.09.02

Confluence ServerおよびData Centerの脆弱性(CVE-2021-26084)に関する注意喚起
(JPCERT/CC, 2021.09.02)

 企業向け Wiki である Confluence のオンプレミス版、 Confluence Server と Data Center に欠陥。OGNL (Object-Graph Navigation Language) インジェクションを許す欠陥があり、 remote から無認証で任意のコードを実行できる。 クラウド版 Confluence Cloud には影響しない。 CVE-2021-26084

2021年9月2日(日本時間)、JPCERT/CCは、本脆弱性の詳細を解説する記事や、脆弱性を悪用するとみられる実証コードが公開されていることを確認しています。当該製品を利用している場合には、バージョンアップや回避策の適用などの対応実施を検討することを推奨します。

 ちょっとぐぐるだけで PoC 出てきますね。

 Confluence Server / Data Center 6.13.23 / 7.4.11 / 7.11.6 / 7.12.5 / 7.13.0 で修正されている。ただし、7.12.x 以前の利用者については 7.13.0 へのアップグレードが推奨されている。


2021.09.01

Chrome Stable Channel Update for Desktop
(Google, 2021.08.31)

 Chrome 93.0.4577.63 が stable に。27 件のセキュリティ修正を含む。

いろいろ (2021.09.01)
(various)

fetchmail

Node.js

NTFS-3G

libssh


[セキュリティホール memo]
[私について]