セキュリティホール memo - 2024.07

Last modified: Sat Jan 6 15:51:34 2024 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2024.07.31

いろいろ (2024.07.31)
(various)

curl

Apple、セキュリティアップデートを実施 ~iOS、macOS、watchOS、tvOS、visionOSなどが対象
(窓の杜, 2024.07.30)

 出てましたね。iida さん情報ありがとうございます。

追記

Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)


2024.07.30

いろいろ (2024.07.30)
(various)

リモートデスクトップソフト Brynhildr / Gungnir / Verethragna

 libvpx の欠陥 CVE-2024-5197 に対応。

 上記 3 ソフトの位置付けは次のようになるそうで: リモートデスクトップソフト「Gungnir」が約3年ぶりにアップデート、Windows 2000など古いOSにも対応 (窓の杜, 2024.07.22)

  • Brynhildr:もっとも普及しているバージョン
  • Gungnir:「Brynhildr」を上回るパフォーマンスを備えたプロトタイプ
  • Verethragna:さらなるパフォーマンスアップを目指したバージョン

追記

Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)

 Firefox 128.0.3、Firefox for Android 128.0.3 出ました。 セキュリティ修正はありません。


2024.07.29


2024.07.26


2024.07.25


2024.07.24

Chrome Stable Channel Update for Desktop
(Google, 2024.07.23)

 Chrome 127.0.6533.72/73 (Windows / Mac) および 127.0.6533.72 (Linux) が stable に。 24 件のセキュリティ修正を含む。

 関連:

いろいろ (2024.07.24)
(various)

Django

BIND 9の脆弱性情報(High: CVE-2024-0760, CVE-2024-1737, CVE-2024-1975, CVE-2024-4076)と新バージョン(9.18.28, 9.20.0 )
(SIOS, 2024.07.24)

 BIND の夏、日本の夏。 (背景: 「KINCHO」の花火)

 4 件。いずれも High / Remotely、CVSS Score: 7.5。

 BIND 9.18.28 / 9.20.0 で修正されている。BIND 9.16 系は EOL になってます

 関連: BIND 9.16から9.18への移行のポイント (dnsops.jp, 2023.11.21)


2024.07.23


2024.07.22


2024.07.19


2024.07.18

追記

Apache 2.4.61 ChangeLog (2024.07.04)

 Apache 2.4.62 が出ました。Apache 2.4.61 の修正も不十分だった模様です。

SECURITY: CVE-2024-40725: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A partial fix for CVE-2024-39884 in the core of Apache HTTP Server 2.4.61 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.62, which fixes this issue.

 あと CVE-2024-40898。 Windows 版のみ。

SECURITY: CVE-2024-40898: Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows (cve.mitre.org) SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue.
Credits: Smi1e (DBAPPSecurity Ltd.)

 関連: JVNVU#99133886 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2024.07.18)

2024 年 7 月のセキュリティ更新プログラム (月例) (2024.07.10)

 CVE-2024-38112 の関連としてトレンドマイクロ セキュリティ blog 記事を追加した。

 Windows 11 22H2/23H2 用 patch に不具合。KIR (Known Issue Rollback) で対応。

EAP-TLS に関する不具合に関する注意喚起と対策のお願い
(eduroam, 2024.02.07)

 知らんかった。

以下の条件がすべて満たされているとき、第三者が同一 CA チェインが発行・署名したクライアント証明書を用いて、EAP-TLSによる認証が成功します。
PEAP, EAP-TTLSを使用している機関が該当します。 eduroam JPのサイトにある FreeRADIUS 3.2 の設定ガイド(*)には注意事項が記載され、同時に配布している設定テンプレートでは上記 3. については対応済みです。

 関連:

いろいろ (2024.07.18)
(various)

RADIUS/UDP

CPython


2024.07.17

Oracleの定例セキュリティ更新、「Java」「VirtualBox」「MySQL」など386件の脆弱性に対処
(窓の杜, 2024.07.17)

 こちらです: Oracle Critical Patch Update Advisory - July 202 (Oracle, 2024.07.16)

いろいろ (2024.07.17)
(various)

FUJITSU Network Edgiot GW1500

Wireshark

追記

Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)

 Thunderbird 115.13.0 出ました。

Chrome Stable Channel Update for Desktop
(Google, 2024.07.16)

 Chrome 126.0.6478.182/183 (Windows / Mac) および 126.0.6478.182 (Linux) 公開。 10 件のセキュリティ修正を含む。 関連:


2024.07.16


2024.07.12

追記

Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)

 Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。

 Tor Browser はまだ ESR 115 ベースですね。

いろいろ (2024.07.12)
(various)

Zoom


2024.07.10

いろいろ (2024.07.10)
(various)

Android

2024 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2024.07.09)

 出ました。139 MS CVE + 4 non-MS CVE (NPS RADIUS, Intel, GitHub)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day は 4 件:

 関連:

2024.07.18 追記:

 CVE-2024-38112 の関連としてトレンドマイクロ セキュリティ blog 記事を追加した。

 Windows 11 22H2/23H2 用 patch に不具合。KIR (Known Issue Rollback) で対応。

Firefox 128.0 / ESR 115.13.0 公開
(Mozilla, 2024.07.09)

 出ました。

2024.07.12 追記:

 Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。

 Tor Browser はまだ ESR 115 ベースですね。

2024.07.17 追記:

 Thunderbird 115.13.0 出ました。

2024.07.30 追記:

 Firefox 128.0.3、Firefox for Android 128.0.3 出ました。 セキュリティ修正はありません。

2024.07.31 追記:

 「Thunderbird 115」から「Thunderbird 128」への自動更新が開始 (窓の杜, 2024.07.31)

Adobe 方面 (Premiere Pro / InDesign / Bridge)
(Adobe, 2024.07.09)

 いずれも Windows / Mac 版に影響。 いずれも Priority: 3。


2024.07.09


2024.07.08

Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~
(山崎圭吾 / ラック・セキュリティごった煮ブログ, 2024.06.27)

 Google フォームにおいて

のいずれかを実施すると予期しない結果を招くという話。

ほかの人の回答を敢えて見せたい場合を除いて、以下の設定をおこないましょう。

1.「結果の概要を表示する」はオフに!
2.共同編集者は「リンクを知っている全員」ではなく「制限付き」に!

 後者の件については piyolog で詳細にまとめられている: Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた (piyolog, 2024.07.08)。 もしかすると Google 側で対処されたのかもしれないが、 そうだとしても「制限付き」にしておくのが吉だろう。

2024.08.02 追記:

 関連: 「ぶいすぽっ!」応募者の情報流出問題、「Googleフォームの予告ない仕様変更」が原因の一端か (岡田有花 / ITmedia, 2024.08.01)


2024.07.05


2024.07.04

いろいろ (2024.07.04)
(various)

Apache Tomcat

  • CVE-2024-34750 (NIST, 2024.07.03)。 Apache Tomcat 9 / 10 / 11 に欠陥。 HTTP/2 stream の処理において、過剰な HTTP ヘッダーを正しく処理できない場合がある。 Apache Tomcat 9.0.90 / 10.1.25 / 11.0.0-M21 で修正。

    iida さん情報ありがとうございます。

Apache 2.4.61 ChangeLog
(apache.org, 2024.07.03)

 Apache 2.4.60 が 2024.07.01 に出たばかりですが、さっそく 2.4.61 が出ました。iida さん情報ありがとうございます。

 Apache 2.4.60 には複数のセキュリティ修正が含まれているのですが、 CVE-2024-38476 の修正に関する Note の部分

SECURITY: CVE-2024-38476: Apache HTTP Server may use exploitable/malicious backend application output to run local handlers via internal redirect (cve.mitre.org) Vulnerability in core of Apache HTTP Server 2.4.59 and earlier are vulnerably to information disclosure, SSRF or local script execution via backend applications whose response headers are malicious or exploitable.

Note: Some legacy uses of the 'AddType' directive to connect a request to a handler must be ported to 'AddHandler' after this fix.

が問題視されたということなのか、Apache 2.4.61 の修正点はこの 1 点↓のみです。

SECURITY: CVE-2024-39884: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A regression in the core of Apache HTTP Server 2.4.60 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.61, which fixes this issue.

 結論としては、2.4.60 は飛ばして 2.4.61 にアップデートするのがよさそうです。 関連:

2024.07.18 追記:

 Apache 2.4.62 が出ました。Apache 2.4.61 の修正も不十分だった模様です。

SECURITY: CVE-2024-40725: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A partial fix for CVE-2024-39884 in the core of Apache HTTP Server 2.4.61 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.62, which fixes this issue.

 あと CVE-2024-40898。 Windows 版のみ。

SECURITY: CVE-2024-40898: Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows (cve.mitre.org) SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue.
Credits: Smi1e (DBAPPSecurity Ltd.)

 関連: JVNVU#99133886 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2024.07.18)


2024.07.03

OpenSSH 9.8 Release Notes
(OpenSSH, 2024.07.01)

 OpenSSH 9.8 / 9.8p1 公開。 セキュリティ修正を含みます。iida さん情報ありがとうございます。

セキュリティ修正その1

1) Race condition in sshd(8)

A critical vulnerability in sshd(8) was present in Portable OpenSSH versions between 8.5p1 and 9.7p1 (inclusive) that may allow arbitrary code execution with root privileges.

Successful exploitation has been demonstrated on 32-bit Linux/glibc systems with ASLR. Under lab conditions, the attack requires on average 6-8 hours of continuous connections up to the maximum the server will accept. Exploitation on 64-bit systems is believed to be possible but has not been demonstrated at this time. It's likely that these attacks will be improved upon.

Exploitation on non-glibc systems is conceivable but has not been examined. Systems that lack ASLR or users of downstream Linux distributions that have modified OpenSSH to disable per-connection ASLR re-randomisation (yes - this is a thing, no - we don't understand why) may potentially have an easier path to exploitation. OpenBSD is not vulnerable.

We thank the Qualys Security Advisory Team for discovering, reporting and demonstrating exploitability of this problem, and for providing detailed feedback on additional mitigation measures.

 regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server (Qualys, 2024.07.01) の件。 OpenSSH 4.4p1 で直した個所を 8.5p1 で誤って削除してしまい 9.7p1 まで脆弱に。うっかり八兵衛 (死語) な話だが、 コードメンテナンスの難しさという話でもあるよなあ。 OpenSSH 9.8p1 で修正。 CVE-2024-6387

 関連:

セキュリティ修正その2

2) Logic error in ssh(1) ObscureKeystrokeTiming

In OpenSSH version 9.5 through 9.7 (inclusive), when connected to an OpenSSH server version 9.5 or later, a logic error in the ssh(1) ObscureKeystrokeTiming feature (on by default) rendered this feature ineffective - a passive observer could still detect which network packets contained real keystrokes when the countermeasure was active because both fake and real keystroke packets were being sent unconditionally.

This bug was found by Philippos Giavridis and also independently by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford of the University of Cambridge Computer Lab.

Worse, the unconditional sending of both fake and real keystroke packets broke another long-standing timing attack mitigation. Since OpenSSH 2.9.9 sshd(8) has sent fake keystoke echo packets for traffic received on TTYs in echo-off mode, such as when entering a password into su(8) or sudo(8). This bug rendered these fake keystroke echoes ineffective and could allow a passive observer of a SSH session to once again detect when echo was off and obtain fairly limited timing information about keystrokes in this situation (20ms granularity by default).

This additional implication of the bug was identified by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford and we thank them for their detailed analysis.

This bug does not affect connections when ObscureKeystrokeTiming was disabled or sessions where no TTY was requested.

 OpenSSH 9.5 で追加された ObscureKeystrokeTiming 機能 (デフォルト ON) が、 OpenSSH sshd 9.5 以降に接続した場合には機能していなかった。 そればかりか、OpenSSH 2.9.9 sshd 以降に実装されている限定的な対抗策までもが破壊されていた。 OpenSSH 9.8 で修正。

 非 Linux な方、regreSSHion 脆弱性は俺には関係ないと安心してちゃ駄目のようですよ。 (お前だよ! > 俺)


2024.07.02


[セキュリティホール memo]
[私について]