セキュリティホール memo - 2022.08

Last modified: Wed Sep 21 14:22:41 2022 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2022.08.31

追記

Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開 (2022.08.25)

 Firefox 104.0.1 が公開されています。YouTube の動画再生に問題があったそうです。

Chrome Stable Channel Update for Desktop
(Google, 2022.08.30)

 Chrome 105.0.5195.52 (Mac 版 / Linux 版) および 105.0.5195.52/53/54 (Windows 版) が stable に。24 件のセキュリティ修正を含む。


2022.08.30

いろいろ (2022.08.30)
(various)

Moodle

WebKitGTK / WPE WebKit

PostgreSQL

tDiary

  • tDiary-5.2.3 リリース (tDiary, 2022.08.29)。「関連ライブラリの脆弱性修正等にかかわるアップデートがあるので、更新を推奨します」。

PowerDNS Recursor


2022.08.29


2022.08.26

いろいろ (2022.08.26)
(various)


2022.08.25

Firefox 104.0 / ESR 102.2.0 / ESR 91.13.0、Firefox for Android 104 公開
(Mozilla, 2022.08.23)

 Thunderbird も 102.2 が出ています。

2022.08.31 追記:

 Firefox 104.0.1 が公開されています。YouTube の動画再生に問題があったそうです。

2022.09.05 追記:

 Thunderbird 102.2.1 公開。セキュリティ修正を含みます。

2022.09.07 追記:

 Firefox 104.0.2 が公開されています。セキュリティ修正はありません。

2022.09.21 追記:

 Thunderbird 91.13.1 が公開されています。セキュリティ修正を含みます。

JVN#57728859 Movable Type の XMLRPC API におけるコマンドインジェクションの脆弱性
(JVN, 2022.08.24)

 Movable Type 7 r.5202 / 6.8.6 / Premium 1.52 以前、 Movable Type Advanced 7 r.5202 / 6.8.6 以前、 Movable Type Premium Advanced Edition 1.52 以前に欠陥。 XMLRPC API に欠陥があり、remote からコマンドインジェクション (任意の perl スクリプトの実行) が可能。 CVE-2022-38078

 Movable Type 7 r.5301 / 6.8.7 / Premium 1.53、 Movable Type Advanced 7 r.5301 / 6.8.7、 Movable Type Premium Advanced Edition 1.53 で修正されている。 また XMLRPC API を無効化することで回避できる。


2022.08.24


2022.08.19

Apple 方面 (iOS / iPadOS 15.6.1, macOS 12.5.1, Safari 15.6.1)
(Apple, 2022.08.17)

 iOS / iPadOS, macOS, Safari に 0-day。Kernel CVE-2022-32894 と WebKit CVE-2022-32893

 watchOS 8.7.1 も公開されていますが、これには CVE 番号が配されるようなセキュリティ修正はないそうです

2022.09.01 追記:

 iOS 12.5.6 公開。 CVE-2022-32893 を修正。CVE-2022-32894 は iOS 12.5.6 には影響しないそうで。

Chrome Stable Channel Update for Desktop
(Google, 2022.08.16)

 Chrome 104.0.5112.101 (Mac 版、Linux 版) および 104.0.5112.102/101 (Windows 版) 公開。 0-day を含む 11 件のセキュリティ修正を含む。 0-day はこちら:

[$NA][1345630] High CVE-2022-2856: Insufficient validation of untrusted input in Intents. Reported by Ashley Shen and Christian Resell of Google Threat Analysis Group on 2022-07-19

2022.08.10

2022 年 8 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.08.10)

 はい出ました。MSDT 0-day の件はこちらだそうです。

 また Exchange については、patch 適用後に Windows Extended Protection なるものを実施せよだそうです。中間介入 (MitM) 攻撃への耐性を高めるためだそうです。

2022.08.25 追記:

 KB5012170: Secure Boot DBX のセキュリティ更新プログラム (Microsoft, 2022.08.09) 関連不具合:

 KB5016616 (Windows 10 20H2 / 21H1 / 21H2 用) 関連不具合:

「Acrobat」「Illustrator」「Premiere Elements」などに致命的な脆弱性
(窓の杜, 2022.08.10)

 Adobe Commerce / Acrobat and Reader / Illustrator / FrameMaker / Premiere Elements のセキュリティ更新公開。Acrobat and Reader だけ Priority: 2、他は 3。

追記

Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)

 Thunderbird 102.1.2、Firefox 103.0.2 が公開されています。セキュリティ修正はありません。

  • Thunderbird 102.1.2 がリリースされた (mozillaZine, 2022.08.10)

    バージョン 102.1.1 での「POP3 メッセージのダウンロード進捗バーが表示されない問題を修正」 (bug 1777765) を撤回。アカウント設定で「ヘッダーのみ取得する」が有効な場合にダウンロードされるメッセージが破損するため (bug 1783552)

    オォゥ。こういうのは致命的。 もうしばらくは 91.12 を使った方がよさげか。

  • Firefox 103.0.2 がリリースされた (mozillaZine, 2022.08.10)


2022.08.08

いろいろ (2022.08.08)
(various)

Unbound

Exim

rsync

zlib

  • CVE-2022-37434。 zlib 1.2.12 以前に欠陥。inflate.c の inflate() に欠陥があり、 長大な gzip header extra field の処理において heap-based buffer over-read または buffer overflow が発生。inflateGetHeader() を読み出すアプリケーションにのみ影響。

    patch

Twitterハッカーにより540万以上の匿名アカウント情報暴露!ゼロディ攻撃
(カミアプ, 2022.08.07)

 twitter に、アカウント情報が流出してしまう欠陥が存在。 2021 年 6 月から 2022 年 1 月まで。

電子メールアドレスまたは電話番号をTwitterのシステムに送信すると、Twitterのシステムは、送信された電子メールアドレスまたは電話番号がどのTwitterアカウントに関連付けられているかを送信者に通知してしまう

 当該の欠陥を使われると、電子メールアドレスや電話番号から非公開アカウントがバレる、といった事態が考えられると。実際、そういうデータが既に収集され販売されている模様。

Twitterは、影響を受けた可能性のあるすべてのアカウントを確認することはできず、国家やその他の関係者の標的になる可能性のある仮名アカウントを持つ人々に特に注意を払っているため、この更新を公開していると伝えています。

 関連:

追記

Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)

 手元の Thunderbird 91.11.0 は 91.12.0 に更新されました。 一方、Thunderbird 102 系列は 102.1.1 が出たそうです。


2022.08.05


2022.08.04

いろいろ (2022.08.04)
(various)

GnuTLS

Django

NVIDIA GPU ドライバー


2022.08.03

VMSA-2022-0021 - VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities.
(VMware, 2022.08.02)

 VMware Workspace ONE Access、Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation に計 9 件のセキュリティ欠陥。

 多くの製品で CVE-2022-31656 が critical、3b〜3f が important と判定されている。 patch が用意されているので適用すればよい。

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2022.08.02)

 Chrome 104.0.5112.79 (Mac 版、Linux 版) および 104.0.5112.79/80/81 (Windows 版) が stable に。 27 件のセキュリティ修正を含む。

 手元の Windows では 104.0.5112.81 しか見かけないのだが、79/80 はどういうプラットホームに対応しているんだろう。

追記

2022 年 7 月のセキュリティ更新プログラム (月例) (2022.07.14)

 Microsoft、Windows CSRSS の特権の昇格 CVE-2022-22047 0-day について、オーストリアの民間企業 DSIRF からの攻撃だったと発表:

いろいろ (2022.08.03)
(various)

WebKitGTK / WPE WebKit

Veritas NetBackup OpsCenter

  • HotFix for Security Advisory Impacting NetBackup OpsCenter (Veritas, 2022.07.13)。無認証でのアカウント作成・変更、リモートからのコマンド実行など 8 件のセキュリティ欠陥を修正。 8.3.0.2 / 9.0.0.1 / 9.1.0.1 / 10.0 にアップデートした上で hotfix を適用する。


2022.08.02

いろいろ (2022.08.02)
(various)

Android

追記

Firefox 103.0 / ESR 102.1 / ESR 91.12.0、Firefox for Android 103 公開 (2022.07.27)

 結局 Thunderbird 91.12.0 リリースされたそうで。 でも手元の Thunderbird 91.11.0 は「最新バージョンです」と主張するんですよね。

 Thunderbird 102 系列は 102.1.0 が出ています。

  • Thunderbird 102.1.0 がリリースされた (mozillaZine, 2022.07.29)

    テスト目的での利用ではないユーザーは、現時点では Thunderbird 102.1.0 へ更新するべきではない。

    とは言うものの、 https://www.thunderbird.net/ja/ でダウンロードされるのは 102.1.0 なのである。 アップグレード時に難があるかもしれない、という見解なのだろうか。

KDDI髙橋社長が「au通信障害」謝罪、現時点で判明している経緯とは (2022.07.04)

 KDDI、社長会見 (2022.07.29) にて返金内容を発表。 3,589万人 (KDDI) + 66万人 (沖縄セルラー) にお詫び返金 200 円、 271万人 (KDDI) + 7万人 (沖縄セルラー) に約款返金として契約料金プランの2日分を返金。 povo2.0 はデータトッピング (1GB/3日間) を進呈。

  • 7月2日に発生した通信障害について (KDDI)。会見動画もこちらから。

  • KDDI通信障害、「約款返金271万人」と「おわび返金200円」の根拠は? (ITmedia, 2022.07.29)

     KDDIの契約約款では、音声通話やデータ通信を24時間以上利用できない状態が続いた場合、その期間の料金を返金するよう規定されている。今回の通信障害では、24時間以上利用できない状態となったのは音声通話のみで、データ通信に関しては、流量制限をかけていたものの、24時間以上利用できない状態にはなっていなかった。
     従って、271万という数字は音声契約「のみ」を契約しているユーザーで、音声+データ通信を契約しているユーザーは含まれない。データ通信は24時間の中で少なからず使えていたので、音声が24時間使えなかったとしても、通信手段を確保できていたという考えだ。

 MVNO 各社も返金を発表。

 本当の原因。

  • KDDI通信障害は“作業マニュアルの取り違え”から ヒューマンエラーで補償額73億円 (ITmedia, 2022.07.29)

     ルーターのメンテナンスに当たっていたオペレーターはマニュアルに沿って作業していた。作業難易度も高くはなかった。それでも設定にミスが発生したのは、参照するマニュアルが古いバージョンだったからだ。
     KDDIではネットワークルーティングのポリシー変更に伴ってマニュアルの内容も更新していた。メンテナンス作業をする際には、使用するマニュアルの確認も兼ねた承認手続きもあり、バージョンの確認もしたが、内容が最新ではなかったという。

    「バージョンの確認もした」にもかかわらず「内容が最新ではなかった」。 これはつまり、マニュアルのバージョンコントロールに失敗した、ということ?
    7月2日に発生した通信障害について (KDDI) には、再発防止策として「メンテナンス作業 (1) 作業手順書管理ルール・作業承認手法の見直し 2022年7月14日実施済 」 とあるのだが、具体的にはどのように見直したのだろう。

  • KDDI「通信障害に関する説明会」詳報、1時間半の説明会で何が語られたのか (ケータイ Watch, 2022.07.30)

    ――手順書のミスについてもう少し詳しく教えてほしい。
    吉村氏
     少し専門的な言い方になりますが、ネットワークのルーティングのポリシーに変更があり、手順書の変更が発生していました。
     したがって、新しい手順書を使う必要がありましたが、古い手順書も選べるような状態になってしまっており、それを受注してしまいました。これは私たちの管理にも問題があるということで、再発防止に努めたいと思います。
     作業者は手順書に沿って作業をきちんとやっていましたので、作業者に対しても悪いことをしてしまったと感じています。

 関連

  • KDDI大規模障害からなにを学ぶべきか (西田 宗千佳 / Impress Watch, 2022.08.01)

    今回の障害の本質から得られる教訓はなにか?
    筆者は2つあると思っている。
    1つ目は「緊急通報ができない期間が生まれることのリスクが認識されたこと」だ。
    (中略)
    2つめの課題は「産業利用への影響」だ。
  • KDDI通信障害で進むか、10年塩漬け緊急時の事業者間ローミング (堀越 功 / 日経 xTECH, 2022.08.01)

     緊急時の事業者間ローミングは、東日本大震災が起きた2011年も総務省で議論された。当時は主に3つの課題が表面化し、実現には至らず継続検討になった。
     まずは(1)各社で採用する携帯電話の方式が異なった点だ。2011年当時はまだ3G全盛時代であり、NTTドコモとソフトバンクモバイル(当時、現ソフトバンク)がW-CDMA方式、KDDIがCDMA2000方式を採用していた。例えばCDMA2000方式の端末を持つ利用者は、W-CDMA方式のネットワークにローミングできない。事業者間ローミングの有効性に乏しかった。
     さらに(2)容量面の課題もあった。災害時に応急復旧したネットワークは処理できる通信量も限られている。事業者間ローミングによって他社の利用者を受け入れると負荷が高まり、自社の利用者もつながりにくくなる恐れがある。
     そして日本では法令で、(3)緊急通報が途切れた場合も、発信者に呼び返し(コールバック)できる機能が求められている点もネックになった。

    (1)、(2) は現在ではクリアできそうだが (3) はなお困難だそうで。

    ただ現時点では、完璧な実装を求めるあまり、KDDIのように大規模通信障害が発生した際に、緊急通報をまったく利用できなくなるという事態に陥っている。呼び返し機能がなくても、緊急通報だけでも事業者間ローミングで実現すれば、救えるケースがあるかもしれない。「0」か「1」ではなく、できることから進めるアプローチも有効ではないか。
  • KDDIの大規模通信障害で示された大きな課題「ユーザーの周知」はどうあるべきか (石川 温 / ケータイ Watch, 2022.08.02)

  • KDDI障害、クロステック緊急座談会


[セキュリティホール memo]
[私について]