セキュリティホール memo

Last modified: Wed Aug 10 19:25:26 2022 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2022.08.10

2022 年 8 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.08.10)

 はい出ました。MSDT 0-day の件はこちらだそうです。

 また Exchange については、patch 適用後に Windows Extended Protection なるものを実施せよだそうです。中間介入 (MitM) 攻撃への耐性を高めるためだそうです。

「Acrobat」「Illustrator」「Premiere Elements」などに致命的な脆弱性
(窓の杜, 2022.08.10)

 Adobe Commerce / Acrobat and Reader / Illustrator / FrameMaker / Premiere Elements のセキュリティ更新公開。Acrobat and Reader だけ Priority: 2、他は 3。

追記

Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)

 Thunderbird 102.1.2、Firefox 103.0.2 が公開されています。セキュリティ修正はありません。

  • Thunderbird 102.1.2 がリリースされた (mozillaZine, 2022.08.10)

    バージョン 102.1.1 での「POP3 メッセージのダウンロード進捗バーが表示されない問題を修正」 (bug 1777765) を撤回。アカウント設定で「ヘッダーのみ取得する」が有効な場合にダウンロードされるメッセージが破損するため (bug 1783552)

    オォゥ。こういうのは致命的。 もうしばらくは 91.12 を使った方がよさげか。

  • Firefox 103.0.2 がリリースされた (mozillaZine, 2022.08.10)


2022.08.08

いろいろ (2022.08.08)
(various)

Unbound

Exim

rsync

zlib

  • CVE-2022-37434。 zlib 1.2.12 以前に欠陥。inflate.c の inflate() に欠陥があり、 長大な gzip header extra field の処理において heap-based buffer over-read または buffer overflow が発生。inflateGetHeader() を読み出すアプリケーションにのみ影響。

    patch

Twitterハッカーにより540万以上の匿名アカウント情報暴露!ゼロディ攻撃
(カミアプ, 2022.08.07)

 twitter に、アカウント情報が流出してしまう欠陥が存在。 2021 年 6 月から 2022 年 1 月まで。

電子メールアドレスまたは電話番号をTwitterのシステムに送信すると、Twitterのシステムは、送信された電子メールアドレスまたは電話番号がどのTwitterアカウントに関連付けられているかを送信者に通知してしまう

 当該の欠陥を使われると、電子メールアドレスや電話番号から非公開アカウントがバレる、といった事態が考えられると。実際、そういうデータが既に収集され販売されている模様。

Twitterは、影響を受けた可能性のあるすべてのアカウントを確認することはできず、国家やその他の関係者の標的になる可能性のある仮名アカウントを持つ人々に特に注意を払っているため、この更新を公開していると伝えています。

 関連:

追記

Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)

 手元の Thunderbird 91.11.0 は 91.12.0 に更新されました。 一方、Thunderbird 102 系列は 102.1.1 が出たそうです。


2022.08.05


2022.08.04

いろいろ (2022.08.04)
(various)

GnuTLS

Django

NVIDIA GPU ドライバー


2022.08.03

VMSA-2022-0021 - VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities.
(VMware, 2022.08.02)

 VMware Workspace ONE Access、Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation に計 9 件のセキュリティ欠陥。

 多くの製品で CVE-2022-31656 が critical、3b〜3f が important と判定されている。 patch が用意されているので適用すればよい。

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2022.08.02)

 Chrome 104.0.5112.79 (Mac 版、Linux 版) および 104.0.5112.79/80/81 (Windows 版) が stable に。 27 件のセキュリティ修正を含む。

 手元の Windows では 104.0.5112.81 しか見かけないのだが、79/80 はどういうプラットホームに対応しているんだろう。

追記

2022 年 7 月のセキュリティ更新プログラム (月例) (2022.07.14)

 Microsoft、Windows CSRSS の特権の昇格 CVE-2022-22047 0-day について、オーストリアの民間企業 DSIRF からの攻撃だったと発表:

いろいろ (2022.08.03)
(various)

WebKitGTK / WPE WebKit

Veritas NetBackup OpsCenter

  • HotFix for Security Advisory Impacting NetBackup OpsCenter (Veritas, 2022.07.13)。無認証でのアカウント作成・変更、リモートからのコマンド実行など 8 件のセキュリティ欠陥を修正。 8.3.0.2 / 9.0.0.1 / 9.1.0.1 / 10.0 にアップデートした上で hotfix を適用する。


2022.08.02

いろいろ (2022.08.02)
(various)

Android

追記

Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)

 結局 Thunderbird 91.12.0 リリースされたそうで。 でも手元の Thunderbird 91.11.0 は「最新バージョンです」と主張するんですよね。

 Thunderbird 102 系列は 102.1.0 が出ています。

  • Thunderbird 102.1.0 がリリースされた (mozillaZine, 2022.07.29)

    テスト目的での利用ではないユーザーは、現時点では Thunderbird 102.1.0 へ更新するべきではない。

    とは言うものの、 https://www.thunderbird.net/ja/ でダウンロードされるのは 102.1.0 なのである。 アップグレード時に難があるかもしれない、という見解なのだろうか。

KDDI髙橋社長が「au通信障害」謝罪、現時点で判明している経緯とは (2022.07.04)

 KDDI、社長会見 (2022.07.29) にて返金内容を発表。 3,589万人 (KDDI) + 66万人 (沖縄セルラー) にお詫び返金 200 円、 271万人 (KDDI) + 7万人 (沖縄セルラー) に約款返金として契約料金プランの2日分を返金。 povo2.0 はデータトッピング (1GB/3日間) を進呈。

  • 7月2日に発生した通信障害について (KDDI)。会見動画もこちらから。

  • KDDI通信障害、「約款返金271万人」と「おわび返金200円」の根拠は? (ITmedia, 2022.07.29)

     KDDIの契約約款では、音声通話やデータ通信を24時間以上利用できない状態が続いた場合、その期間の料金を返金するよう規定されている。今回の通信障害では、24時間以上利用できない状態となったのは音声通話のみで、データ通信に関しては、流量制限をかけていたものの、24時間以上利用できない状態にはなっていなかった。
     従って、271万という数字は音声契約「のみ」を契約しているユーザーで、音声+データ通信を契約しているユーザーは含まれない。データ通信は24時間の中で少なからず使えていたので、音声が24時間使えなかったとしても、通信手段を確保できていたという考えだ。

 MVNO 各社も返金を発表。

 本当の原因。

  • KDDI通信障害は“作業マニュアルの取り違え”から ヒューマンエラーで補償額73億円 (ITmedia, 2022.07.29)

     ルーターのメンテナンスに当たっていたオペレーターはマニュアルに沿って作業していた。作業難易度も高くはなかった。それでも設定にミスが発生したのは、参照するマニュアルが古いバージョンだったからだ。
     KDDIではネットワークルーティングのポリシー変更に伴ってマニュアルの内容も更新していた。メンテナンス作業をする際には、使用するマニュアルの確認も兼ねた承認手続きもあり、バージョンの確認もしたが、内容が最新ではなかったという。

    「バージョンの確認もした」にもかかわらず「内容が最新ではなかった」。 これはつまり、マニュアルのバージョンコントロールに失敗した、ということ?
    7月2日に発生した通信障害について (KDDI) には、再発防止策として「メンテナンス作業 (1) 作業手順書管理ルール・作業承認手法の見直し 2022年7月14日実施済 」 とあるのだが、具体的にはどのように見直したのだろう。

  • KDDI「通信障害に関する説明会」詳報、1時間半の説明会で何が語られたのか (ケータイ Watch, 2022.07.30)

    ――手順書のミスについてもう少し詳しく教えてほしい。
    吉村氏
     少し専門的な言い方になりますが、ネットワークのルーティングのポリシーに変更があり、手順書の変更が発生していました。
     したがって、新しい手順書を使う必要がありましたが、古い手順書も選べるような状態になってしまっており、それを受注してしまいました。これは私たちの管理にも問題があるということで、再発防止に努めたいと思います。
     作業者は手順書に沿って作業をきちんとやっていましたので、作業者に対しても悪いことをしてしまったと感じています。

 関連

  • KDDI大規模障害からなにを学ぶべきか (西田 宗千佳 / Impress Watch, 2022.08.01)

    今回の障害の本質から得られる教訓はなにか?
    筆者は2つあると思っている。
    1つ目は「緊急通報ができない期間が生まれることのリスクが認識されたこと」だ。
    (中略)
    2つめの課題は「産業利用への影響」だ。
  • KDDI通信障害で進むか、10年塩漬け緊急時の事業者間ローミング (堀越 功 / 日経 xTECH, 2022.08.01)

     緊急時の事業者間ローミングは、東日本大震災が起きた2011年も総務省で議論された。当時は主に3つの課題が表面化し、実現には至らず継続検討になった。
     まずは(1)各社で採用する携帯電話の方式が異なった点だ。2011年当時はまだ3G全盛時代であり、NTTドコモとソフトバンクモバイル(当時、現ソフトバンク)がW-CDMA方式、KDDIがCDMA2000方式を採用していた。例えばCDMA2000方式の端末を持つ利用者は、W-CDMA方式のネットワークにローミングできない。事業者間ローミングの有効性に乏しかった。
     さらに(2)容量面の課題もあった。災害時に応急復旧したネットワークは処理できる通信量も限られている。事業者間ローミングによって他社の利用者を受け入れると負荷が高まり、自社の利用者もつながりにくくなる恐れがある。
     そして日本では法令で、(3)緊急通報が途切れた場合も、発信者に呼び返し(コールバック)できる機能が求められている点もネックになった。

    (1)、(2) は現在ではクリアできそうだが (3) はなお困難だそうで。

    ただ現時点では、完璧な実装を求めるあまり、KDDIのように大規模通信障害が発生した際に、緊急通報をまったく利用できなくなるという事態に陥っている。呼び返し機能がなくても、緊急通報だけでも事業者間ローミングで実現すれば、救えるケースがあるかもしれない。「0」か「1」ではなく、できることから進めるアプローチも有効ではないか。
  • KDDIの大規模通信障害で示された大きな課題「ユーザーの周知」はどうあるべきか (石川 温 / ケータイ Watch, 2022.08.02)

  • KDDI障害、クロステック緊急座談会


過去の記事: 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]