セキュリティホール memo - 2021.12

Last modified: Tue Jan 11 16:01:49 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2021.12.27

コニカミノルタ製複合機・プリンターにおける複数のセキュリティー脆弱性について
(コニカミノルタ, 2021.12.24)

 コニカミノルタの複数の複合機・プリンターに計 5 件のセキュリティ欠陥。

 HDD 抜き去りの件は「ストレージ(HDD)ロックパスワード設定」で回避できる。 その他については修正版ファームウェアで対応。


2021.12.24


2021.12.23

追記

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)

 Java 6 用に Log4j 2.3.1 が、また CVE-2021-45105 対応として Log4j 2.12.3 がリリースされています。iida さん情報ありがとうございます。

  • Apache Log4j 2 (apache.org)

    Mitigation
    Upgrade to Log4j 2.3.1 (for Java 6), 2.12.3 (for Java 7), or 2.17.0 (for Java 8 and later).

2021.12.22

追記

Firefox 95.0 / ESR 91.4.0、Thunderbird 91.4.0 公開 (2021.12.08)

 Thunderbird 91.4.1 が公開されました。セキュリティ修正を含みます。

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)


2021.12.21

Changes with Apache 2.4.52
(Apache.org, 2021.12.20)

 Apache 2.4.52 公開。2 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。

 関連:


2021.12.20

追記

Firefox 95.0 / ESR 91.4.0、Thunderbird 91.4.0 公開 (2021.12.08)

  Firefox 95.0.1、Firefox ESR 95.0.1、Firefox for Android 95.2.0 が公開されています。 SHA-2 を用いた OCSP ステープリングを行なっているサイト (例: microsoft.com) に接続できない欠陥などが修正されています。

 さらに Firefox 95.0.2 が公開されています。AMD“Bobcat”CPU + Windows 7 / 8 で頻繁にクラッシュする欠陥が修正されています。


2021.12.17

2021 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.12.15)

 はい、出てます。

 0-day 修正はこちら:

CVE-2021-43890 Windows AppX Installer なりすましの脆弱性は、既に、Emotet, Trickbot, Bazaloader などのマルウェアによって脆弱性の悪用が行われていることを確認しています。また、脆弱性の詳細が一般に公開されています。

 ms-appinstaller: スキームの件だそうです。無効化されました。

 関連:

2022.01.07 追記:

 Windows Server 2012 R2 / 2016 / 2019 / 2022 において、更新プログラム適用後に「画面が黒くなる、ログオンが遅くなる、あるいは全般に処理が遅くなる」状況が発生することがあるそうで。定例外の更新プログラムが公開されています。

2022.01.11 追記:

 2021年12月のWindowsパッチに問題、「Outlook」で最近のメールが検索結果に表示されない  Microsoftが一時的な回避策を案内 (窓の杜, 2022.01.11)。


2021.12.16

追記

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)

 Log4j 2.15.0 での修正は不十分だったのだそうで。 ひきつづき残っていた欠陥が CVE-2021-45046 として分類された。Log4j 2.16.0 で修正。

 また、Java 7 利用者のため Log4j 2.12.2 がリリースされた。

  • Apache Log4j 2.12.2 (apache.org)

    Log4j 2.12.2 is now available for production. Log4j 2.12.2 is the latest release of Log4j and contains changes addressing only CVE-2021-44228 and CVE-2021-45046 for users still using Java 7:
    • Removed Message Lookups in PatternLayout. %m{lookup}, %m{nolookup}, and variants will still be accepted as conversion patterns, but have no effect.
    • Disabled JNDI by default and only allowing java protocol when enabled.
    • Made JNDI Lookup inoperable and removed the message Lookup capability.

 あと、Log2j 1.2 の件:

 あとこれ:

NSO Group 方面 (2021.11.11)

いろいろ (2021.12.16)
(various)

Movable Type

SAP

OpenSSL 3.0

  • OpenSSL version 3.0.1 published (OpenSSL, 2021.12.14)。iida さん情報ありがとうございます。

  • Changelog: OpenSSL 3.0 (OpenSSL)

    Changes between 3.0.0 and 3.0.1 [14 dec 2021]
    • Fixed invalid handling of X509_verify_cert() internal errors in libssl Internally libssl in OpenSSL calls X509_verify_cert() on the client side to verify a certificate supplied by a server. That function may return a negative return value to indicate an internal error (for example out of memory). Such a negative return value is mishandled by OpenSSL and will cause an IO function (such as SSL_connect() or SSL_do_handshake()) to not indicate success and a subsequent call to SSL_get_error() to return the value SSL_ERROR_WANT_RETRY_VERIFY. This return value is only supposed to be returned by OpenSSL if the application has previously called SSL_CTX_set_cert_verify_callback(). Since most applications do not do this the SSL_ERROR_WANT_RETRY_VERIFY return value from SSL_get_error() will be totally unexpected and applications may not behave correctly as a result. The exact behaviour will depend on the application but it could result in crashes, infinite loops or other similar incorrect responses.

      This issue is made more serious in combination with a separate bug in OpenSSL 3.0 that will cause X509_verify_cert() to indicate an internal error when processing a certificate chain. This will occur where a certificate does not include the Subject Alternative Name extension but where a Certificate Authority has enforced name constraints. This issue can occur even with valid chains. ([CVE-2021-4044])

Adobe 方面 (After Effects、Audition、Connect、 Dimension、Experience Manager、Lightroom、Media Encoder、Photoshop、Prelude、Premiere Pro、Premiere Rush)
(Adobe, 2021.12.14)

 いろいろ出ました。

After Effects

Audition

Connect

Dimension

Experience Manager

  • Security updates available for Adobe Experience Manager | APSB21-103 (Adobe, 2021.12.14)

    Adobe Experience Manager (AEM) 6.5.10.0 以前、および AEM Cloud Service に 8 件のセキュリティ欠陥、任意のコードの実行を招くなど。 AEM 6.5.11.0 および AEM Cloud Service 2021.11.0 (2021.12.16 リリース) で修正。

    Priority: 2

Lightroom

Media Encoder

Photoshop

Prelude

Premiere Pro

Premiere Rush

Chrome Stable Channel Update for Desktop
(Google, 2021.12.13)

 Chrome 96.0.4664.110 公開。5 件のセキュリティ修正を含む。内 1 件 CVE-2021-4102 は 0-day。

 関連: 「Microsoft Edge」も「V8」エンジンのゼロデイ脆弱性に対処 ~「Chrome」から1日遅れ  修正版のv96.0.1054.57が公開 (窓の杜, 2021.12.15)

Apple 方面 (iOS / ipadOS, tvOS, watchOS, macOS, Safari)
(Apple, 2021.12.13)

 出ました。

2022.01.11 追記:

 MicrosoftがmacOSの脆弱性「powerdir」を解説 (PC Watch, 2021.01.11)。上記で修正された CVE-2021-30970 の解説。


2021.12.15

追記

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに (2019.01.31)

 活動家の違法ハッキングで電子フロンティア財団がスパイウェアメーカーDarkMatterを提訴 (techcrunch, 2021.12.11)

訴状で名指しされている、ExpressVPNのCIOであるDaniel Gerike(ダニエル・ジェライク)氏、Marc Baier(マーク・ベイヤー)氏、Ryan Adams(ライアン・アダムズ)氏の3人の米国家安全保障局(NSA)元工作員は、アラブの春の抗議活動の際に、政府に反対する人権活動家、政治家、ジャーナリスト、反体制派をスパイするためにUAEが展開したハッキングプログラム「Project Raven」に参加していた。元スパイの3人は9月に米司法省との不起訴合意に基づき、コンピュータ不正使用防止法(CFAA)と機密軍事技術の販売禁止の違反を認め、計170万ドル(約1億9000万円)を支払うことに合意した。また、コンピュータネットワークの不正利用に関わる仕事、UAEの特定の組織での仕事、防衛関連製品の輸出、防衛関連サービスの提供を永久に禁止されている。
訴訟では、ジェライク氏、ベイヤー氏、およびアダムズ氏の3人が、米企業から悪意あるコードを購入し、そのコードを米国内のApple(アップル)のサーバーに意図的に誘導して、CFAAに違反してアル・ハズルール氏のiPhoneに悪意あるソフトウェアを仕込んだと主張している。また、アル・ハズルール氏の携帯電話のハッキングが、UAEによる人権擁護者や活動家に対する広範かつ組織的な攻撃の一環であったことから、人道に対する罪をほう助したとも主張している。

2021.12.14

追記

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)

 Log4j 2.16.0 がリリースされた。Message Lookup 機能が完全に削除され、JNDI もデフォルト無効化された。

  • [ANNOUNCE] Apache Log4j 2.16.0 Released (apache.org, 2021.12.13)

    * Removed Message Lookups. This is a hardening related to changes made to prevent CVE-2021-44228. While this change is recommended, it is NOT required to fix CVE-2021-44228.
    * While release 2.15.0 removed the ability to resolve Lookups and log messages and addressed issues with how JNDI is accessed, the Log4j team feels that having JNDI enabled by default introduces an undue risk for our users. Starting in version 2.16.0, JNDI functionality is disabled by default and can be re-enabled via the log4j2.enableJndi system property. Use of JNDI in an unprotected context is a large security risk and should be treated as such in both this library and all other Java libraries using JNDI.
    * Prior to version 2.15.0, Log4j would automatically resolve Lookups contained in the message or its parameters in the Pattern Layout. This behavior is no longer the default and must be enabled by specifying %msg{lookup}.

 あと Log4j 1.x について、Red Hat から:

  • CVE-2021-4104 (Red Hat, 2021.12.10)

    A flaw was found in the Java logging library Apache Log4j in version 1.x. JMSAppender in Log4j 1.x is vulnerable to deserialization of untrusted data. This allows a remote attacker to execute code on the server if the deployed application is configured to use JMSAppender and to the attacker's JMS Broker.

2021.12.13

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
(JPCERT/CC, 2021.12.11)

 Java 環境で広く利用されている log 出力ライブラリ、Apache Log4j 2.0〜2.14.1 に極めて危険な機能が存在。

Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4jはLookupにより指定された通信先もしくは内部パスからjava classファイルを読み込み実行し、結果として任意のコードが実行される可能性があります。

 この機能がデフォルト有効であったため大問題に。CVE-2021-44228

 Log4j 2.17.0 (Java 8 以降用) / 2.12.3 (Java 7 用) / 2.3.1 (Java 6 用) で対応されている。

 また以下の方法でも対応できる:

 解説: (随時更新)

 各社 / 各アプリケーション等の状況: (随時更新)

 Log4j overview related software (NCSC-NL / GitHub) にすごい一覧があります。

Amazon AWS

Apache Druid

Apache Flink

Apache Flume

  • (?)

Apache Kafka

  • (?)

Apache Solr

Apache Struts

Apple iCloud

Arduino IDE

Cisco

Docker Desktop

ElasticSearch, Logstash

F-Secure

F5

Google

graylog

GroupSession

IBM SPSS

McAfee

  • McAfee Enterprise coverage for Apache Log4j CVE-2021-44228 Remote Code Execution (McAfee, 2021.12.13 更新)

    Endpoint Security (ENS), VirusScan Enterprise (VSE), McAfee Web Gateway (MWG):
    On December 12, 2021, McAfee Enterprise released V3 AMCore content 4648 (ENS) and V2 DAT 10196 (VSE). Generic detections are provided under the title Exploit-CVE-2021-44228.C. These detections identify the use of potentially malicious jndi:ldaps, jndi:ldap, jndi:rmi, and jndi:dns strings. Detections are represented as a "Potentially Unwanted Program", and it's recommended that you review policies to make sure that scanners honor Unwanted Program detections.

    PUP として検出するので、PUP を検出するように設定してね。

Microsoft (Asure、Microsoft Defender、……)

Minecraft

Movable Type

PostgreSQL JDBC

QNAP

Red Hat

Siemens

Spring Boot

Symantec

Synology

Trendmicro トレンドマイクロ

VMware

 関連報道: (随時更新)

2021.12.13 追記:

 Log4j 1.x でも影響する場合があるという議論: https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (JPCERT/CC, 2021.12.13 更新) にも Log4j 1.x の件が追記されています。

Apache Log4j 1系のバージョンについては、第三者が本脆弱性を悪用するためにLog4jの設定ファイルを変更することができれば影響を受けるとの情報が公開されていますが、攻撃を行うためには何らかの方法で事前にシステムに不正にアクセスする必要があり、遠隔からの脆弱性を悪用した攻撃の影響は受けません。

Restrict LDAP access via JNDI #608 Comment
https://github.com/apache/logging-log4j2/pull/608#issuecomment-991730650

2021.12.14 追記:

 Log4j 2.16.0 がリリースされた。Message Lookup 機能が完全に削除され、JNDI もデフォルト無効化された。

 あと Log4j 1.x について、Red Hat から:

2021.12.16 追記:

 Log4j 2.15.0 での修正は不十分だったのだそうで。 ひきつづき残っていた欠陥が CVE-2021-45046 として分類された。Log4j 2.16.0 で修正。

 また、Java 7 利用者のため Log4j 2.12.2 がリリースされた。

 あと、Log2j 1.2 の件:

 あとこれ:

2021.12.22 追記:

 Log4j 2.17.0 が登場。

 スキャナなど:

 あとこちら:

2021.12.23 追記:

 Java 6 用に Log4j 2.3.1 が、また CVE-2021-45105 対応として Log4j 2.12.3 がリリースされています。iida さん情報ありがとうございます。


2021.12.10

追記

NSO Group 方面 (2021.11.11)

いろいろ (2021.12.10)
(various)

ZOHO ServiceDesk Plus / Desktop Central

SonicWall SMA 100 シリーズ

Eltima SDK (USB over Ethernet SDK)

Redmine

トレンドマイクロ ウイルスバスター クラウド (フォルダシールド機能)

  • アラート/アドバイザリ:ウイルスバスター クラウド の脆弱性について(CVE-2021-43772) (トレンドマイクロ, 2021.12.01)。 ウイルスバスター クラウド 17.0 に欠陥。 フォルダシールド機能によって守られているはずのファイルを、検知されることなく改ざんできる。CVE-2021-43772

    本記事では、最新のパターンファイルにより対応、となっている。

    最新のウイルスパターンファイルにて、本脆弱性を利用したファイル変更が行われた場合に検知・変更をブロックを行えるように 修正を行っております。
    最新のパターンファイルを適用いただくことにより、本脆弱性を利用しての攻撃を防ぐことが可能です。 パターンファイルは、自動配信されています。
  • SECURITY BULLETIN: Folder Shield protected folder bypass (Trendmicro, 2021.11.29)。CVE-2021-43772。 上記とは、書かれ方が異なる。 こちらでは Premium Security / Maximum Security / Internet Security / Antivirus+ Security の 2021 (v17) 以前に欠陥があり、 2022 (v17.7) で修正された、とされている。 なぜ記載内容が異なるのか、よくわからない。

    v17.7 は日本でも既に公開されている: ウイルスバスター クラウド最新バージョン(Ver 17.7) 公開のお知らせ (トレンドマイクロ, 2021.10.14)。

NTTドコモ Wi-Fi STATION SH-52A


2021.12.09


2021.12.08

いろいろ (2021.12.08)
(various)

Android

uBlock Origin

  • 広告ブロック拡張機能「uBlock Origin」にユーザーのパスワードが盗まれるCSSインジェクション脆弱性が存在 (gigazine, 2021.12.07)

    2021年8月25日、テイヴィス・オーマンデイ氏が広告ブロック拡張機能「uBlock Origin」にCSSインジェクションの脆弱性があることを報告しました。(中略) オーマンデイ氏が指摘したその日にuBlock Originはパッチを配布し、一度は問題が解決されましたが、11月3日、パッチをバイパスできる方法が明らかになりました。(中略) ヘイス氏の報告を受けてuBlock Originはすぐにパッチを配布し、11月22日には安定版をリリースするとともにFirefox版を更新、12月3日にはChrome版を更新しています。

Chrome Stable Channel Update for Desktop
(Google, 2021.12.06)

 Chrome 96.0.4664.93 公開。22 件のセキュリティ修正を含む。

Firefox 95.0 / ESR 91.4.0、Thunderbird 91.4.0 公開
(Mozilla, 2021.12.07)

 出ています。セキュリティ修正を含みます。

 関連:

2021.12.20 追記:

  Firefox 95.0.1、Firefox ESR 95.0.1、Firefox for Android 95.2.0 が公開されています。 SHA-2 を用いた OCSP ステープリングを行なっているサイト (例: microsoft.com) に接続できない欠陥などが修正されています。

 さらに Firefox 95.0.2 が公開されています。AMD“Bobcat”CPU + Windows 7 / 8 で頻繁にクラッシュする欠陥が修正されています。

2021.12.22 追記:

 Thunderbird 91.4.1 が公開されました。セキュリティ修正を含みます。


2021.12.07

追記

いろいろ (2021.12.03) NSS (Network Security Services)


2021.12.06

いろいろ (2021.12.06)
(various)

エレコム WRH-733GBK、WRH-733GWH、WRC-2533GHBK-I、WRC-1167GST2、WRC-1167GST2A、WRC-1167GST2H、 WRC-2533GST2、WRC-2533GST2SP、WRC-2533GST2-G、EDWRC-2533GST2、 WRC-2533GS2-B、WRC-2533GS2-W、WRC-1750GS、WRC-1750GSV、 WRC-1900GST、WRC-2533GST、WRC-2533GSTA


2021.12.03

いろいろ (2021.12.03)
(various)

NSS (Network Security Services)

2021.12.07 追記:

追記

いろいろ (2021.09.17) Apache HTTP Server


2021.12.02

いろいろ (2021.12.02)
(various)

GNU Mailman


2021.12.01


[セキュリティホール memo]
[私について]