セキュリティホール memo - 2018.03

Last modified: Tue Oct 16 13:07:30 2018 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2018.03.30

いろいろ (2018.03.30)
(various)

NVIDIA GPU Display Driver

Cisco IOS / IOS XE

BranchScope (Spectre Variant 2 に類似)

追記

「AMDのCPUに深刻な脆弱性がある」とのCTS Labs発表による一大騒動まとめ (2018.03.18)

 AMD、数週間以内の対応を明示 (2018.03.21)

Apple 方面 (iOS, watchOS, tvOS, macOS, Safari, Xcode, iTunes for Windows, iCloud for Windows)
(Apple, 2018.03.29)

 たくさん出ました。

CVE-2018-1038 | Windows カーネルの特権の昇格の脆弱性
(Microsoft, 2018.03.29)

 Ulf Frisk 氏指摘の Total Meltdown? の件、Windows 7 / Server 2008 R2 用 patch が公開されました。 Microsoft 2018.01〜03 月例 patch を適用した Windows 7 / Server 2008 における、 local user による権限上昇が可能な欠陥を修正しています。 当初は「3月の月例 patch で対応されている」とされていましたが、実際にはそうではなかったようです。


2018.03.29

いろいろ (2018.03.29)
(various)

moodle

Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起
(JPCERT/CC, 2018.03.29)

 Drupalに「極めて重大な脆弱性」、29日のセキュリティリリースを予告 の件、予告どおり出ました。

ルーターにサイバー攻撃か ネット接続で不具合相次ぐ
(朝日, 2018.03.28)

 「Facebook拡張ツールバックを取り付けて安全性及び使用流暢性を向上します」が出てくる件。結果としてはルーターの DNS 設定を変えられているようなのですが、ルーターが WAN 側から直接攻撃を受けているのか、それとも LAN 側から攻撃を受けているのか、現時点ではよくわかっていない模様です。Kunitsu さん情報ありがとうございます。

 朝日が記事にしているのは、NTT 東西の法人向けルーター (ひかり電話オフィスタイプ対応アダプタ) Netcommunity OG シリーズで発生している事象。 朝日記事によると、NTT 東日本では「27日以降、計24件問い合わせが入って」いるそうです。

 あと、piyolog さんによると、Logitec のいつもの奴はともかくとして、Buffalo の複数機種でも現象が確認されているとのこと。ふぅむ。

 対応としては、NTT 東西は

ご利用機器の設定変更により解消します。
設定変更の方法については、下記の窓口にお問い合わせください。

と秘密にしているのですが、設定初期化の上でパスワード変更、とかでしょうか。知らんけど。

 関連:

2018.04.03 追記:

 関連:

2018.04.17 追記:

 Roaming Mantis uses DNS hijacking to infect Android smartphones (Kaspersky, 2018.04.16)。facebook.apk / chrome.apk の件、感染デバイスの 98% は韓国ロケールですか。

 あ、日本語版あるんですね: DNS設定を乗っ取りAndroidデバイスに感染するRoaming Mantis (Kaspersky, 2018.04.17)

2018.05.31 追記:

 Roaming Mantis続報:さらなる多言語化、フィッシング、そしてマイニング (Kaspersky, 2018.05.21)。どんどん進化・拡大しているそうで。

2018.10.16 追記:

 Roaming Mantis:iOSでの仮想通貨マイニングと、悪意あるコンテンツ配信システムを介した拡散 (Kaspersky, 2018.10.12)。ひきづつき、変化を続けているようです。


2018.03.28

追記

Firefox 59.0 / ESR 52.7.0 公開 (2018.03.17)

 Firefox 59.0.2 / ESR 52.7.3 が出ました。 59.0.2ESR 52.7.3Android 版 59.0.2MFSA 2018-10 - Use-after-free in compositor (Mozilla) を修正。

ノートパソコン バッテリー発火防止のためのリコール社告について
(Panasonic, 2018.03.28)

 Panasonic レッツノート CF-[SN]X[1-4], CF-[SN]10, CF-AX[23], CF-C2 で 2016.08〜2018.03 の間に 12 件の発火事故を確認。ただし CF-[SN]X4 の Windows 10 プリインストールモデルは除く。

発生した 12 件の事故は、原因の特定には至っていませんが、いずれもバッテリーの劣化による内圧の上昇と微細な異物の混入により内部短絡して発火したと判断しています。バッテリーの劣化状態を診断して最適な充電制御を行うことにより、内部短絡の防止が技術的に可能であることが判明しましたので、対策として新たにバッテリー診断・制御プログラムを開発することを決断しました。
今回のリコール社告においては、全数を対象としたバッテリーパックの交換は行わず、バテリーの劣化状況を判定し発火の危険性を回避するバッテリー診断・制御プログラムを提供します。現在、そのプログラムの開発を進めており、本年 5 月末よりご案内させてい予定です。それまでは、事故発生の危険性を低減させるために、緊急対策として充電制御 ユーティリティ※1 の設定をお願いいたします。

 充電制御ユーティリティは、充電量を 80% に抑える奴です。

S2-056 - A crafted XML request can be used to perform a DoS attack when using the Struts REST plugin
(Apache Struts, 2018.03.27)

 Struts 2.1.1〜2.5.14.1 に欠陥。Struts REST プラグインで使われている XStream ハンドラーに DoS 攻撃を受ける欠陥がある。 CVE-2018-1327

 Struts 2.5.16 に更新し、オプションの Jackson XML ハンドラーに切り替える。 あるいは、Jackson XML ハンドラーに基くカスタム XML ハンドラーを独自に実装する。

 関連: Apache Struts 2 の脆弱性 (S2-056 / CVE-2018-1327) について (JPCERT/CC, 2018.03.28)

[ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released
(Apache, 2018.03.26)

 [email protected] ML アーカイブで確認できる限りでは、 Apache HTTP Server 2.4.x の正式リリースは、[ANNOUNCE] Apache HTTP Server 2.4.29 Released の次が [ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released のようで、2.4.30〜32 は飛ばされているようです。しかし https://www.apache.org/dist/httpd/ を見ると、httpd-2.4.32.tar.bz2 なんてファイルがふつうに存在するのですよね。 よくわからん。

 それはともかく、 Apache HTTP Server 2.4.30 の段階で 7 件のセキュリティ欠陥が修正されているそうです。

 iida さん情報ありがとうございます。

OpenSSL Security Advisory [27 Mar 2018]
(OpenSSL, 2018.03.27)

 OpenSSL 1.1.0h / 1.0.2o 公開。3 件のセキュリティ欠陥を修正。

 iida さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
(Google, 2018.03.20)

 Chrome 65.0.3325.181 公開、1 件のセキュリティ欠陥を修正。iida さん情報ありがとうございます。

 1 件ですが「Various fixes from internal audits, fuzzing and other initiatives」なので、まとめて 1 件ということにした、という感じ。


2018.03.27

追記

2018 年 3 月のセキュリティ更新プログラム (月例) (2018.03.17)

 Windows Server 2008 での不具合情報です:

  • 3 月の更新プログラムを適用すると有線 LAN 利用時に問題が発生する (Windows Server 2008) (Ask the Network & AD Support Team, 2018.03.26)。 「ネットワーク インターフェースに静的に設定した IP アドレス情報が失われ、DHCP 設定に置き換わる問題が発生することがあります」

    以下の 2 つの条件を両方満たす場合に、本問題が発生します。
    a. pci.sys のバージョンが GDR 版 (6.0.6002.1xxxx) であること
    b. NIC が PCI Express で Device Serial Number をサポートしていること

    回避方法が記載されています。

 また、Windows 7 上の IE 11 について、修正版の累積的更新プログラムが 2018.03.23 付で公開されました。2018.03.13 の累積的更新プログラムを適用すると IE 11 が起動しないことがある問題が修正されています。


2018.03.26


2018.03.24

 今日もネットワークをいじり中。たまに切れるかもしれません。


2018.03.23

Drupalに「極めて重大な脆弱性」、29日のセキュリティリリースを予告
(ITmedia, 2018.03.23)

 Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 (Drupal, 2018.03.21) だそうで。

There will be a security release of Drupal 7.x, 8.3.x, 8.4.x, and 8.5.x on March 28th 2018 between 18:00 - 19:30 UTC,

 日本時間だと 2018.03.29 03:00 - 04:30 ということでしょうか。

The Drupal Security Team urges you to reserve time for core updates at that time because exploits might be developed within hours or days.

 攻略プログラムを容易に開発可能な模様。 03:00 - 04:30 に起きていられない場合は、2018.03.28 中に一旦停止しておいて、翌日更新してから再起動、とかした方がよさげなのかな。

 Drupal 8.3.x と 8.4.x は既にサポート外だけど、今回は更新版が用意されるのだそうで。 ただし、更新した後で、翌月中に 8.5.x に再更新することが強く推奨されている。 あと、

This will not require a database update

 データベースの更新は必要とされないそうです。

2018.03.29 追記:

 Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起 (2018.03.29)


2018.03.22


2018.03.20

追記

2018 年 3 月のセキュリティ更新プログラム (月例) (2018.03.17)

 Windows 7 での不具合情報です:

 また Windows 7 ですか……。早くもいやがらせがはじまったのかなあ。 延長サポート終了までは、まだ 2 年弱あるのですが。

「AMDのCPUに深刻な脆弱性がある」とのCTS Labs発表による一大騒動まとめ (2018.03.18)


2018.03.19


2018.03.18

いろいろ (2018.03.18)
(various)

VMware Workstation, Fusion

オムロン CX-Supervisor

コレガ CG-WGR1200

PhishWall クライアント Windows用 Firefox、Chrome版

追記

memcached のアクセス制御に関する注意喚起 (2018.03.01)

 GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 (トレンドマイクロ セキュリティ blog, 2018.03.15)

「AMDのCPUに深刻な脆弱性がある」とのCTS Labs発表による一大騒動まとめ
(gigazine, 2018.03.17)

 CTS Labs の件、この記事がいちばんよくまとまってると思います。関連:

2018.03.20 追記:

 株価操作が目的?: AMDプロセッサの“重大な脆弱性”情報、業界から疑問の声 (ITmedia, 2018.03.19)

2018.03.30 追記:

 AMD、数週間以内の対応を明示 (2018.03.21)


2018.03.17

 09:30 から理工学部ネットワークをいじるので、このページは見えたり見えなかったりすると思います。

追記

VU#584653 - CPU hardware vulnerable to side-channel attacks (2018.01.12)

 Microsoft 更新。Spectre Variant 2 対策コード、 Windows 10 Version 1703 / 1607 および Server 2016 用が公開された。

2018 年 3 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.03.14)

 IE / Edge, Windows, Office, SharePoint Server / Project Server, Exchange, ASP .NET Core, .NET Core, PowerShell Core, ChakraCore, Flash。

 PowerShell Core って何だっけ? とぐぐった結果:

 関連:

2018.03.18 追記:

 関連:

2018.03.20 追記:

 Windows 7 での不具合情報です:

 また Windows 7 ですか……。早くもいやがらせがはじまったのかなあ。 延長サポート終了までは、まだ 2 年弱あるのですが。

2018.03.27 追記:

 Windows Server 2008 での不具合情報です:

 また、Windows 7 上の IE 11 について、修正版の累積的更新プログラムが 2018.03.23 付で公開されました。2018.03.13 の累積的更新プログラムを適用すると IE 11 が起動しないことがある問題が修正されています。

Firefox 59.0 / ESR 52.7.0 公開
(Mozilla, 2018.03.13)

 出ました。

 次期 ESR は Firefox 60 ベース だそうですので、ESR 52 もそろそろ終了です。

2018.03.28 追記:

 Firefox 59.0.2 / ESR 52.7.3 が出ました。 59.0.2ESR 52.7.3Android 版 59.0.2MFSA 2018-10 - Use-after-free in compositor (Mozilla) を修正。

Chrome Stable Channel Update for Desktop
(Google, 2018.03.06)

 Chrome 65.0.3325.146 が stable に。45 件のセキュリティ欠陥を修正。

 その後、2018.03.13 に 65.0.3325.162 が公開 されている。こちらはセキュリティ修正はないみたい。iida さん情報ありがとうございます。

Adobe 方面 (Flash Player, Dreamweaver CC, Connect)
(Adobe, 2018.03.13)

 今回は 3 種類。

APSB18-05 - Security updates available for Flash Player (Adobe, 2018.03.13)

 Flash Player 29.0.0.113 公開。 任意のコードの実行を招くセキュリティ欠陥 2 件 CVE-2018-4919 CVE-2018-4920 を修正。 0-day はないみたい。Priority rating はほとんど 2 (Linux Desktop だけ 3)。

APSB18-06 - Security updates available for Adobe Connect (Adobe, 2018.03.13)

 Adobe Connect 9.7.5 公開。2 件のセキュリティ欠陥 (任意のファイルの削除 CVE-2018-4923 (Windows 版のみ)、情報漏洩 CVE-2018-4921) を修正。 0-day はないみたい。Priority rating は 3。

APSB18-07 - Security update available for Adobe Dreamweaver CC (Adobe, 2018.03.13)

 Adobe Dreamweaver CC 18.1 公開。任意のコードの実行を招くセキュリティ欠陥 CVE-2018-4924 を修正。 0-day はないみたい。Priority rating は 3。


2018.03.16


2018.03.15

いろいろ (2018.03.15)
(various)

SSH サーバー実装 (AsyncSSH, Paramiko)

Tor, Tor Browser

Samba 4.x に 2 件の欠陥 (CVE-2018-1050, CVE-2018-1057)
(Samba, 2018.03.13)

 Samba 4.x に 2 件の欠陥。

CVE-2018-1050

 [global] セクションで rpc_server:spoolss = external と設定している場合 (デフォルトは embedded) に、DoS 攻撃を受ける欠陥。

 関連: Enabling the spoolssd Service (Samba Wiki)

CVE-2018-1057

 Samba 4 AD DC を構築している場合に、LDAP サーバーに欠陥。 認証済みユーザーが、管理者や権限つきサービスのアカウントを含む、他のユーザーのパスワードを変更できてしまう。

 Samba 4.7.6, 4.6.14, 4.5.16 で修正されている。 また patch が用意されている。

 最新 Samba 4.8.0 にはこの欠陥はない (多分)。 また Samba 4.8.0 リリースにより、Samba 4.5.x はサポート終了となった。 関連: Samba Release Planning (Samba Wiki)

Webmin 1.840 – 1.880 – Unrestricted Access to Arbitrary Files using Local File Include
(7 Elements, 2018.03.14)

 Webmin に欠陥 (指摘者は最新の 1.880 と 1.840 で検証)。 一般ユーザーが、root にしか読めないようなファイルを読めてしまう。 PoC が添付されている。 CVE-2018-8712

 まだ修正はされていない。設定で回避できる。

Webmin > Webmin Users > Webmin Groups > Select Group > Available Webmin Modules > System Logs


2018.03.13


2018.03.09

追記

VU#584653 - CPU hardware vulnerable to side-channel attacks (2018.01.12)

 DELL, HP, Intel, Microsoft, FreeBSD, NetBSD, OpenBSD 更新。


2018.03.08


2018.03.07


2018.03.05

いろいろ (2018.03.05)
(various)

PostgreSQL

phpMyAdmin

Wireshark

Drupal

Dovecot

4G LTE

追記

チェルノブイリ原発も 欧州・米国で大規模サイバー攻撃 (2017.06.28)

 ラピッド サイバー攻撃の一種、Petya の概要 (日本のセキュリティチーム, 2018.02.23)


2018.03.02

追記

2018 年 2 月のセキュリティ更新プログラム (月例) (2018.02.14)

 Windows 7 で IC カードリーダーを認識できなくなる不具合の件、修正プログラムが公開されました。ただし副作用があります。山田さん情報ありがとうございます。

MSから緊急アップデートが公開されました。
通常のWindows Updateとしては3月のものに含まれるとのことです。
すぐに適用する場合は Windows Catalog から適用が必要になるようです。
https://support.microsoft.com/en-us/help/4091290/march-1-2018-kb4091290
"After installing this update, SMB servers may experience a memory leak." というのが気になりますね...
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4091290

ClamAV 0.99.4 has been released!
(ClamAV, 2018.03.01)

 ClamAV 0.99.4 公開。複数のセキュリティ修正を含みます。 CVE 番号が付番されていないものもあるそうです。


2018.03.01

追記

2018 年 2 月のセキュリティ更新プログラム (月例) (2018.02.14)

 Windows 7 で IC カードリーダーを認識できなくなる不具合の件、Remote Desktop Services の無効化によっても回避できるそうです。山田さん情報ありがとうございます。

 Windows 10 version 1709 で USB キーボード・マウスが使えなくなる件は、こちらにまとまってました。「StartComponentCleanup タスク」を無効化することで予防できるそうです。

いろいろ (2018.03.01)
(various)

ファイルコンパクト

  • JVN#29939155 - ファイルコンパクトで作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性 (JVN, 2018.02.16 更新)

    【2018年2月16日追記】
    本脆弱性情報は、2017年7月10日 (月) 12:00 に JVN 上で公表をし、その際の影響を受ける製品バージョンは「ファイルコンパクト Ver.5 バージョン 5.09 およびそれ以前」、「ファイルコンパクト Ver.6 バージョン 6.01 およびそれ以前」、「ファイルコンパクト Ver.7 バージョン 7.01 およびそれ以前」と記載していましたが、開発者が公開した「ファイルコンパクト Ver.5 バージョン 5.10」、「ファイルコンパクト Ver.6 バージョン 6.02」、「ファイルコンパクト Ver.7 バージョン 7.02」において、修正が不十分であったことが確認されたため [影響を受けるシステム] を更新しました。

    ファイルコンパクト 5.11 / 6.03 / 7.03 で修正。

EmEditor

Buffalo WXR-1900DHP2

Apache Tomcat

memcached のアクセス制御に関する注意喚起
(JPCERT/CC, 2018.02.27)

 memcached の 11211/udp を利用した DDoS 攻撃が行われているそうで。

 対策としては、11211/udp へのアクセス制御を行う。不要であれば memcached での UDP 使用を無効化する。

 また、Memcached 1.5.6 からは 11211/udp がデフォルト無効に設定されたそうです。

 関連: memcachedの開放ポート(11211/tcp, 11211/udp)をサクっと確認する (ろば電子が詰まっている, 2018.02.28)

memcachedは、TCP・UDPともに11211ポートがデフォルトで利用されます。通常はTCPしか使われないため、UDPは明示的に意識しない限り使うことはないでしょう。
しかしmemcachedデフォルトではTCPだけでなくUDPも開放されるため(memcached 1.5.6からはUDPはデフォルトでは無効らしい)、特にUDPのフィルタは見落としがちです。
memchacedでUDPをoffにするには、「-U 0」というオプションを付加します。CentOS 7のパッケージならば、以下のように /etc/sysconfig/memcached ファイルの「OPTIONS」に記述します。

2018.03.18 追記:

 GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 (トレンドマイクロ セキュリティ blog, 2018.03.15)


[セキュリティホール memo]
[私について]