セキュリティホール memo - 2022.01

Last modified: Thu Jun 9 11:49:53 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2022.01.31

追記

コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)


2022.01.28

追記

コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)

 関連:


2022.01.27


2022.01.26

追記

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (2021.12.13)

 2021 年末に新たな欠陥 CVE-2021-44832 が発見されてました。攻撃者が設定をいじれる場合、JDBC Appender を介して RCE 発生。 Log4j 2.17.1 / 2.12.4 / 2.3.2 で対応された。 これにあわせて本文も修正。

 また Log4j 1.x については、現在 6 件の CVE が未修正として記載されている。内 3 件 CVE-2022-23302 CVE-2022-23305 CVE-2022-23307 は 2022.01.18 に追加された模様。 iida さん情報ありがとうございます。

 あとこんなの:

いろいろ (2022.01.26)
(various)

SolarWinds Serv-U

AccessPress 社 WordPress プラグイン、テーマ

Docker Desktop

McAfee Agent for Windows


2022.01.25

SonicWall SMA100シリーズの複数の脆弱性に関する注意喚起
(JPCERT/CC, 2022.01.25)

 SonicWall SMA 100 シリーズに、無認証で stack buffer overflow を招くなどの 8 件のセキュリティ欠陥があると 2021.12.01 に公表された。修正版ファームウェアが用意されている。 CVE-2021-20038 CVE-2021-20039 CVE-2021-20040 CVE-2021-20041 CVE-2021-20042 CVE-2021-20043 CVE-2021-20044 CVE-2021-20045

 これらについて、既に PoC が公開されているものが存在する他、 CVE-2021-20038 を攻略するための通信も観測されているそうで。 Product Security Notice: SMA 100 Series Vulnerability Patches (Q4 2021) (SonicWall, 2021.12.09 更新) には「IMPORTANT: There is no evidence that these vulnerabilities are being exploited in the wild.」とあるが、もはや正しくない模様。

 関連:

追記

コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)

 関連:


2022.01.24


2022.01.21

Oracle、2022年1月「Critical Patch Update」を実施 ~497件のセキュリティパッチをリリース  「Oracle Java SE」関連で18件、「VirtualBox」で2件の脆弱性に対処
(窓の杜, 2022.01.19)

 出ています。 Java SE 17.0.2 / 11.0.14 / 8u321、VirtualBox 6.1.32 など。

追記

コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声 (2022.01.20)

 関連:


2022.01.20

コインハイブ事件、最高裁で“逆転無罪”に 「おめでとうございます!」「長い間本当にお疲れさまでした」と祝福の声
(ねとらぼ, 2022.01.20)

 本当に、本当に、おつかれさまでした。

 警察・検察が間抜けだと、一市民がかように苦労するという話でもあります。

2022.01.21 追記:

 関連:

2022.01.25 追記:

 関連:

2022.01.28 追記:

 関連:

2022.01.31 追記:

 関連:

2022.02.07 追記:

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2022.01.19)

 Chrome 97.0.4692.99 / 96.0.4664.110 公開。26 件のセキュリティ修正を含む。 Google Project Zero は external researcher 扱いなのかな。

いろいろ (2022.01.20)
(various)

Drupal

キヤノン レーザープリンター / 複合機

トレンドマイクロ Deep Security / Cloud One Workload Security の Linux 版 Agent

トレンドマイクロ Apex One / Apex One SaaS / ウイルスバスター Corp. / ウイルスバスタービジネスセキュリティ / ウイルスバスタービジネスセキュリティサービス


2022.01.19

いろいろ (2022.01.19)
(various)

GnuTLS


2022.01.18

追記

2022 年 1 月のセキュリティ更新プログラム (月例) (2022.01.14)

 VPN 問題等の修正 patch 出たようです:

 手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。


2022.01.17

いろいろ (2022.01.17)
(various)

FreeBSD

 SA はこちら。

 あと Errata がいくつか。いずれも patch あり。

キングジム テプラ PRO SR5900P / SR-R7900P

Safari 15、Web行動履歴の漏洩につながる脆弱性。特にiPhone/iPadに大きな影響
(PC Watch, 2022.01.17)

 Safari の、というより、WebKit の欠陥。

報告された脆弱性は、Safari 15などで使われるWebKitに実装された「IndexedDB」APIが「Same-origin policy」に違反した状態になっているというもの。(中略) 影響を受けるのはmacOSのSafari 15、およびiOS 15/iPadOS 15で動作するすべてのWebブラウザ。前者はSafariのみだが、後者でSafari以外が含まれるのは、iOS/iPadOS上のすべてのWebブラウザにおいてWebKitエンジンを使用するよう、Appleが定めているため。

 macOS では非標準の Web ブラウザを使うことで回避できるが、 iOS / ipadOS では回避不能と。

 詳細:


2022.01.15

いろいろ (2022.01.15)
(various)

ClamAV

About the security content of iOS 15.2.1 and iPadOS 15.2.1
(Apple, 2022.01.12)

 HomeKit の欠陥 CVE-2022-22588 を修正、だそうで。

 関連: Apple、悪意のあるHomeKitデバイスを登録するとiPhoneの動作が不安定になり、デバイスを復元してもiCloud同期で再び問題が発生してしまうゼロデイ脆弱性を修正した「iOS/iPadOS 15.2.1」をリリース。 (AAPL Ch., 2022.01.13)


2022.01.14

 人生辛すぎる。

Firefox 96.0 / ESR 91.5.0、Firefox for Android 96、Thunderbird 91.5.0 公開
(Mozilla, 2022.01.11)

 はい、出てました。

Adobeが今年初のセキュリティパッチを公開 〜「Acrobat」「Illustrator」など5製品が対象
(窓の杜, 2022.01.12)

 Adobe Acrobat/Reader / Illustrator / Bridge / InCopy / InDesign のセキュリティ更新が公開されたそうで。時間が取れたらちゃんと書きたい。

2022 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.01.12)

 出ましたが、今回は不具合多めのようで。

 で、ええっと何でしたっけ?

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21919 (Windows)、CVE-2022-21874(Windows)、CVE-2022-21839(Windows)、CVE-2022-21836(Windows)、CVE-2021-36976(Librachive)、CVE-2021-22947(Curl) は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、これらの脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていません。

 既知の欠陥だが攻略されたとは確認されていないと。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21907 (HTTP プロトコル スタックのリモートでコードが実行される脆弱性) およびCVE-2022-21849 (Windows IKE Extensionでコードが実行される脆弱性) は、CVSS スコア Base スコアが9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。

 IKE Extension がらみは上記含めて 6 件 (CVE-2022-21843, CVE-2022-21883, CVE-2022-21848, CVE-2022-21849, CVE-2022-21889, CVE-2022-21890) あるそうで。 これが上記の VPN 話につながっていると推測されるが詳細不明。

 関連:

2022.01.18 追記:

 VPN 問題等の修正 patch 出たようです:

 手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。

2022.02.08 追記:

 Microsoft、「.NET Framework」の更新プログラムをWindows Server向けに緊急公開  2022年1月パッチで「Active Directory」フォレストの信頼情報の処理に問題 (窓の杜, 2022.02.08)

2022.02.28 追記:

 ReFS に接続できなかった件を含めた解説:

2022.04.26 追記:

 2022.04.25 付で Known Exploited Vulnerabilities Catalog (CISA) に登録されたもの:


2022.01.11

追記

Apple 方面 (iOS / ipadOS, tvOS, watchOS, macOS, Safari) (2021.12.16)

 MicrosoftがmacOSの脆弱性「powerdir」を解説 (PC Watch, 2021.01.11)。上記で修正された CVE-2021-30970 の解説。

2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)


2022.01.07

いろいろ (2022.01.07)
(various)

Node.js

  • January 10th 2022 Security Releases (node.js, 2022.01.04)。4 件のセキュリティ欠陥 (medium x 3、low x 1) を修正した Node.js 12.x, 14.x, 16.x, 17.x の更新版のリリースが予告されています。

Django

Wireshark

追記

2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)

 Windows Server 2012 R2 / 2016 / 2019 / 2022 において、更新プログラム適用後に「画面が黒くなる、ログオンが遅くなる、あるいは全般に処理が遅くなる」状況が発生することがあるそうで。定例外の更新プログラムが公開されています。


2022.01.06

Chrome Stable Channel Update for Desktop
(Google, 2022.01.04)

 Chrome 97.0.4692.71 が stable に。37 件のセキュリティ修正を含む。

 あわせて Extended Stable Channel で 96.0.4664.131 が公開 されている。


2022.01.02

 あけましておめでとうございます。


[セキュリティホール memo]
[私について]