Thunderbird 78.8.0 も出ています。
iida さん情報ありがとうございます。
vCenter Server / ESXi 6.5 / 6.7 / 7.0 に 3 件のセキュリティ欠陥
CVE-2021-21972: Critical
vCenter Server plugin に含まれる vSphere Client (HTML5) に欠陥があり、port 443 にアクセス可能な攻撃者が無認証でコマンドを実行できる。
CVE-2021-21974: Important
ESXi で利用している OpenSLP に heap overflow する欠陥があり、
同一のネットワークセグメントに存在し、かつ port 427 にアクセス可能な攻撃者がコードを実行できる。
CVE-2021-21973:
Moderate
vCenter Server plugin に含まれる vSphere Client (HTML5) に SSRF (Server Side Request Forgery) 欠陥があり、port 443 にアクセス可能な攻撃者が POST リクエストを送ることで情報漏洩を招く。
vCenter Server 6.5 U3n / 6.7 U3l / 7.0 U1c、vCloud Foundation 4.2 / 3.10.1.2 で修正されている。ESXi 6.5 / 6.7 / 7.0 には patch が提供されている。
2021.02.25 追記:
JPCERT/CC から CVE-2021-21972 についての注意喚起が出ている。
VMware から CVE-2021-21972 と CVE-2021-21973 の回避策が示されている。
2023.02.13 追記:
CVE-2021-21974
を狙う攻撃が流行ってるんだそうで。
Chrome 88.0.4324.182 公開。10 件のセキュリティ修正を含む。
OpenSSL 1.1.1 / 1.0.2 に 3 件のセキュリティ欠陥 (Moderate x 1、Low x 2)。
iida さん情報ありがとうございます。
| セキュリティ欠陥 |
Severity |
OpenSSL |
| 1.1.1x |
1.0.2x |
| Null pointer deref in X509_issuer_and_serial_hash() (CVE-2021-23841) |
Moderate |
1.1.1i 以前 |
1.0.2x 以前 |
| Incorrect SSLv2 rollback protection (CVE-2021-23839) |
Low |
SSLv2 はサポートしない |
1.0.2s 〜 1.0.2x |
| Integer overflow in CipherUpdate (CVE-2021-23840) |
Low |
1.1.1i 以前 |
1.0.2x 以前 |
OpenSSL 1.1.1j で修正されている。またプレミアサポート加入者は OpenSSL 1.0.2y
で修正されている。
BIND 9.5.0 以降の BIND 9.x に欠陥。GSS-TSIG 実装に欠陥があり、
remote から任意のコードを実行できる。
BIND 9.16.12 / 9.11.28 で修正されている。
欠陥が発現するのは、tkey-gssapi-keytab または tkey-gssapi-credential オプションを有効にしている場合のみ。たとえば AD / Samba 連携をしている場合は有効になっているはず。
関連:
2021.02.19 追記:
BIND 9.6.12 / 9.6.12-S1 / 9.17.10 の serve-stale 機能に追加された
stale-answer-client-timeout
機能に不具合があり、
予期せずサーバーが落ちることがある模様。
回避するには、stale-answer-enable を no にするか、
stale-answer-client-timeout を 0 にするか、
stale-answer-client-timeout を off にする。
Intel Graphics Driver の件 2 件
CVE-2021-1805
CVE-2021-1806
と sudo の件 CVE-2021-3156
が修正されています。
Microsoft 2021.02 patch 公開。
セキュリティ更新プログラム ガイド >
リリース ノート >
2021 Feb より:
今回のリリースは、次の製品、機能、およびロールのセキュリティ更新プログラムで構成されています。
- .NET Core
- .NET Framework
- Azure IoT
- デベロッパーツール
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics コンポーネント
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Windows Codecs Library
- ロール: DNS サーバー
- ロール: Hyper-V
- ロール: Windows Fax サービス
- Skype for Business
- SysInternals
- System Center
- Visual Studio
- Windows アドレス帳
- Windows バックアップ エンジン
- Windows コンソール ドライバー
- Windows Defender
- Windows DirectX
- Windows イベント トレーシング
- Windows インストーラー
- Windows カーネル
- Windows モバイル デバイス管理
- Windows ネットワーク ファイル システム
- Windows PFX 暗号化
- Windows PKU2U
- Windows PowerShell
- Windows 印刷スプーラー コンポーネント
- Windows リモート プロシージャ コール
- Windows TCP/IP
- Windows Trust Verification API
SysInternals は PsExec だそうで: Sysinternals PsExec の特権の昇格の脆弱性 -
CVE-2021-1733
(MSRC)。最新版は PsExec 2.32 のようなのだけれど、
2.32 でも直り切っていないとの指摘あり。
TCP/IP スタックの欠陥修正が 3 件。
Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086
(MSRC Blog, 2021.02.09)。
CVE-2021-24074
と
CVE-2021-24094
は RCE、
CVE-2021-24086
は DoS。
The two RCE vulnerabilities are complex which make it difficult to create functional exploits, so they are not likely in the short term. We believe attackers will be able to create DoS exploits much more quickly and expect all three issues might be exploited with a DoS attack shortly after release. Thus, we recommend customers move quickly to apply Windows security updates this month.
RCE な 2 件を RCE として実装するのは困難だが、DoS として実装するのは難しくない模様。あわせて 3 件の DoS 攻撃が近々に行われる可能性があり、今月中の早急な patch 適用が望ましい、とされている。
The DoS exploits for these CVEs would allow a remote attacker to cause a stop error. Customers might receive a blue screen on any Windows system that is directly exposed to the internet with minimal network traffic.
ブルー画面が発生するような DoS 攻撃となるそうです。
The IPv4 workaround simply requires further hardening against the use of Source Routing, which is disallowed in Windows default state. This workaround is documented in CVE-2021-24074 and can be applied through Group Policy or by running a NETSH command that does not require a reboot. The IPv6 workarounds are documented in CVE-2021-24094 and CVE-2021-24086, and require blocking IPv6 fragments, which may negatively impact services with dependencies on IPv6.
こちら:
CVE-2021-24074 にはこうあります:
1.sourceroutingbehavior を "drop" に設定します
次のコマンドを使用します。
netsh int ipv4 set global sourceroutingbehavior=drop
CVE-2021-24094
にはこうあります:
1.グローバルの reassemblylimit を 0 に設定します
次のコマンドでパケットの再構築が無効になります。順序がバラバラのパケットがある場合は破棄されます。有効なシナリオでは、順序がバラバラのフラグメントは 50 個以下であることが必要です。運用システムを更新する前に、テストすることをお勧めします。
Netsh int ipv6 set global reassemblylimit=0
Threat Brief: Windows IPv4 and IPv6 Stack Vulnerabilities (CVE-2021-24074, CVE-2021-24086 and CVE-2021-24094)
(paloalto networks unit42, 2021.02.09)。
Palo Alto Networks Next-Generation Firewall での止め方など。
2021.02.12 追記:
Multiple Security Updates Affecting TCP/IP: CVE-2021-24074, CVE-2021-24094, and CVE-2021-24086
(MSRC Blog, 2021.02.09) の日本語版出ました:
あと、0-day 方面いろいろ。ゆりか先生のツイートから:
Chrome 88.0.4324.150 公開。V8 で heap overflow が発生する 0-day 欠陥 1 件 CVE-2021-21148
(severity: High) を修正。
SonicWall SMA 100 シリーズ (物理アプライアンス SMA 200 / 210 / 400 / 410 および仮想アプライアンス SMA 500v) に欠陥。ファームウェア 10.x に 0-day 欠陥があり、詳細は不明だが、remote から 無認証で侵入可能な模様。
ファームウェア 10.2.0.5-d-29sv で修正されている。
Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
(SonicWall) に記載されている推奨手順は以下のとおり:
ファームウェアを 10.2.0.5-d-29sv にアップデート
Web インターフェイス経由で機器にログインしたユーザーのパスワードをリセット
多要素認証 (MFA) を有効に
ただし、SMA 500v の更新イメージファイルはまだ用意されていない模様。
直ちに更新できない場合、内蔵 WAF 機能を有効にすることで欠陥を回避できる。WAF 機能は有償だが、60 日間有効なライセンスが無償提供されている。
ただしこれは、ファームウェア更新を代替するものではないとされている。
SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起
(JPCERT/CC, 2021.02.08 更新) には、log からの状況確認方法が追記されている。
1. 管理用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避され管理用インターフェースへアクセスが行われた可能性があります。
2. ユーザー用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエストを検索し、当該ログの前に/cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避されユーザー用インターフェースへアクセスが行われた可能性があります。
ESP32-WROOM-32E では、ESP32-WROOM-32D / ESP32-WROOM-32 に存在したハードウェア上のセキュリティ欠陥が修正されているそうで。
Security Advisory concerning fault injection and eFuse protections (CVE-2019-17391)
(espressif.com, 2019.11.01)
At time of writing, currently available ESP32 chips (ESP32-D0WD, ESP32-D2WD, ESP32-S0WD, ESP32-PICO-D4, and related modules) are vulnerable to this attack. The ESP32-D0WD-V3 chip has checks in ROM which prevent this attack. This chip and related modules will be available in Q4 2019. More information about ESP32-D0WD-V3 will be released soon.
ESP32-WROOM-32E には、
この ESP32-D0WD-V3 が塔載されている。
kmitsu76 氏による本文書で、CVE-2019-17391 について解説されている。
末尾にあるまとめがこちら:
つまり、
- ESP32を使用するユーザーはESP32-D0WD-V3チップを搭載するデバイスの使用を推奨する
- ESP32-D0WD-V3チップを搭載するデバイスにはより強化されたSecure Boot V2が使用できる。
- V3でないチップはこの脆弱性に対して対策がない
ということになり、ESP32を使用するユーザーでフラッシュ内容を秘匿する必要がある場合はESP32-D0WD-V3チップを搭載するデバイス、つまりESP32-WROOM-32Eを使う必要があるということになる。
秋月の表記:
あと、
Security Advisory concerning fault injection and eFuse protections (CVE-2019-17391)
(espressif.com, 2019.11.01) にはこんな表記があるのだが、
The forthcoming ESP32-S2 SoC has additional hardware and ROM code provisions to protect against fault injection, including against this attack. ESP32-S2 also uses the Secure Boot V2 scheme.
ESP32-S2
はシングルコアだったり BLE がなかったりするので、
ふつうの ESP32 と簡単に置きかえられるようなものではない。
デュアルコア、BLE あり、AI 対応の
ESP32-S3
というのが最近発表された模様。
Android 版 COCOA、2020.09.28 の更新以降、陽性登録者と「1m以内・15分以上」接触しても通知しない欠陥が発生。iPhone 版にはこの欠陥はない。
本障害は、昨年9月28日のバージョンアップに伴って生じたものです。その後、本アプリ改修時には、テスト環境を用いて必要なテストを実施してきましたが、その際のテスト内容は、本アプリの基盤となっている接触通知APIから出力される接触リスクに関する値を前提とした模擬的な検証を行うものでした。
しかしながら、陽性者と接触しているはずであるが本アプリで通知がこなかった旨の報道を受け、従来の模擬的な検証に加えて実機を用いた動作検証を行ったところ、接触リスクに関する値がAndroid端末については想定と異なる形で接触通知APIから出力され、その結果、接触が正しく通知されないこととなっていることが判明したものです。
実機テストしてませんでしたと。
加えて、2020.11.25 に不具合報告されたにもかかわらず放置されていたことが判明している。
現在修正作業中。2021年2月中旬のリリースを予定。
関連:
2021.02.09 追記:
各社社説
関連
「COCOA」だけじゃない。厚労省コロナ対策関連システムの惨状
(ハーバー・ビジネス・オンライン, 2021.02.06)
事実、検査機関等の現場における「HER-SYS」の利用は進んでいない。保健所など行政機関の検査現場では、いまだにファックスと電話による報告でオペレーションが回っているケースが大半だ。民間の先進的な医療施設では、検査結果の集約や患者との連絡に独自のシステムを利用しているケースもあり、そもそも「HER-SYS」の出る幕がないという施設も存在する。
「HER-SYS」の利用が進まないのは、現場だけではない。厚労省本省すら、「HER-SYS」を利用している節がないのだ。
「HER-SYS」が検査の現場でも厚労省本省における最終的な集計作業でも利用されていないのだとすれば、「HER-SYS」に集約された情報を基に、感染者との濃厚接触を感知する仕組みの「COCOA」の不具合は、「アップデート作業で発生したアンドロイド版にだけ発生する不具合」などというレベル止まらない可能性がある。参照する情報がサーバーに集約されていない以上、アンドロイド版のみならずiPhone版についても、「そもそも全く使い物になっていない」という可能性が濃厚だ。だとすると、厚労省の一連のシステム開発に関する目算は、根底から崩壊していると言わざるを得ない。
新型コロナ接触確認アプリ「COCOA」陽性者登録進まず…わずか2%程度
(FNN, 2021.01.15)
ここ最近で1日に6千人以上、トータルでは31万人もの陽性者が国内で確認されているにも関わらず、アプリでの陽性者の登録が累計でおよそ8千件、全体の2%程度
(中略)
政府関係者は「保健所が一杯一杯でアプリの業務に手が回らない」と指摘している。
2021.02.18 追記:
関連:
1.2.2 出ました。今回の件は修正されたようです。
接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました
(厚生労働省, 2021.02.18)
Android端末で本アプリをご利用の場合に、陽性者との接触について通知を受けることができなかった問題について解消を図りました。
※Android端末で本アプリをご利用の場合に、1メートル以内15分以上の条件に該当する陽性者との接触があった場合、本来通知すべきより も多い接触件数が表示される可能性がありましたがこの問題もあわせて解消しました。
……「図りました」? 本当に修正されたの?
以下は別件:
Android端末で本アプリに陽性となった旨の登録を行った場合、iOS13.5を搭載した端末では、陽性者との接触があっても通知を受け取ることができない事例が見つかりました。
(中略) iOS14シリーズでは通知を受け取ることができることが確認できていますのでOSを最新版にアップデートした上で本アプリをご利用いただくようお願いします。
COCOA修正版配布 厚労相「iPhoneも不具合」
(朝日, 2021.02.18) は上記の別件の話の模様。
あと、iPhone 版 COCOA において特定条件で初期化されてしまう件は未修正の模様。
また、この度、Android端末において陽性者との接触を通知することができない不具合の解消を図りましたが、これとは異なる原因によりiOS端末で接触を通知できないケースがあるのではないか、との指摘がGitHub(※)においてなされています。順次、調査を行い、不具合の解消に努めてまいります。
こちら?: 接触チェックに漏れが発生する可能性について #17
(GitHub)
macOS 10.14.6 / 10.15.7 / 11.0.1 の、計 66 件のセキュリティ欠陥を修正。
36 件は任意のコードの実行を招くもの。0-day の修正が 3 件 (権限上昇 x 1、任意のコードの実行を招く x 2)。
2021.02.09 追記:
Safari 14.0.3
(Apple, 2021.02.01)。macOS Big Sur 11.2 の修正項目に入っている 3 件 (WebKit x 2、WebRTC x 1) が対応された、Catalina / Mojave 用 Safari 出てました。
iida さん情報ありがとうございます。
Chrome 88.0.4324.146 公開。6 件のセキュリティ修正を含む。
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)