today is Jan 30, 2023

セキュリティホール memo

Last modified: Thu Jan 19 19:09:32 2023 +0900 (JST) 短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr

 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。 今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

■ 2023.01.19

■ いろいろ (2023.01.19) (various)

Git

Synology VPN Plus Server

■ Oracle Critical Patch Update Advisory - January 2023 (Oracle, 2023.01.17)

■ 2023.01.18

  • 》 ロシア・参謀総長・総司令官 異例の兼務 (NHK 解説委員室, 1/18)

  • 》 NATO加盟 北欧とトルコの駆け引き (NHK 解説委員室, 1/18)

    Q.トルコとスウェーデンがNATO加盟をめぐってここまでこじれているのは何故でしょうか。

    この機にとれるものはすべてとりたいトルコと、人道的にもこれ以上譲歩はできないスウェーデン、双方の思惑が真っ向からぶつかっているからです。

    Q.では北欧2か国のNATO加盟はどうなるのでしょうか?

    NATOに加盟する30か国のうち加盟議定書にまだ批准してないのはハンガリーとトルコの2か国です。ハンガリーは加盟支持を表明し近く議会で批准される見通しですので残るはトルコだけです。スウェーデンと一緒にNATO加盟を申請したフィンランドは、スウェーデン抜きに単独で加盟しないとしており、北欧2か国のNATO加盟はトルコの決断にかかっています。トルコとしてもNATO内での孤立を避けるためにも最後までNOを突き付けるのは得策ではありません。 大統領選挙までトルコの軟化は期待薄ですが、どこで手を打つのか、ウクライナの行方にもかかわるだけに今後の動きに目が離せません

  • 》 クレジットカード不正利用 最悪の見通し 対策を解説 (NHK 解説委員室, 1/18)

  • 》 iPhoneを奪い取られた後「AppleのサポートのせいでiCloudアカウントまで失ってしまった」との体験談 (gigazine, 1/17) (

    ビジャルバ氏の兄弟が受けた攻撃は、iPhoneを盗まれた被害者が新しいSIMカードを入手すると、古いSIMカードが使えなくなることを利用した手口です。これにより被害者が新しいSIMを取得したことを察知した犯人は、発信元をAppleのサポートに偽装したフィッシングメッセージを被害者に送りつけます。そして、被害者からiCloudアカウントとパスワードをだまし取ることに成功すると、iPhoneのロックを解除してiPhoneを売り払ってしまいます。
  • 》 テスラの「完全自動運転で通勤するムービー」はやらせだったことが判明 (gigazine, 1/18)。イメージ映像。

  • 》 環境活動家のグレタ・トゥーンベリがドイツで警察に連行される (gigazine, 1/18)

    地元のアーヘン警察によると、トゥーンベリ氏らは逮捕されたわけではなく、他の抗議者とともに身元確認のために移動されたとのこと。
  • 》 GoogleがAppleの「AirTag」のような落とし物トラッカーを開発しているとリークされる、2023年秋に新型Pixelと同時発売か (gigazine, 1/18)

  • 》 ニュースサイト「CNET」に掲載されたAI製記事は人間のファクトチェックを経てもなお重大な誤りが含まれていた (gigazine, 1/18)

  • 》 秀丸メール:HTMLメールViewerの動作不良について (秀まるおのホームページ, 1/17)

     当社でテストした所、Windows10/11の「22H2」に対しての最近出てきた更新プログラム(Windows10用 = KB5015684、Windows11用 = KB5022303)がインストールされるとおかしくなるようです。  (2023年1月18日追記:Edgeブラウザのアップデートによっておかしくなってるらしいです。バージョン 109.0.1518.55で再現し、109.0.1518.52では大丈夫とのことでした。KBxxxxxxxxのWindowsの更新プログラムは関係無いかもしれません)

     Edge 109、印刷不具合に続いてこれですか。

     関連: Microsoft Edge で PDFなどを読み込んで印刷しようとしても反応しない Part 2 (パソコンのツボ ~ Office のTIP, 1/16)

  • 》 貴石のチケット: 詳解 次世代型Kerberos攻撃 (paloalto unit42, 2022.12.21)

    リサーチャーの推測では、Sapphire Ticket攻撃とDiamond Ticket攻撃はGolden Ticket攻撃と似ていますが、さらに発見が困難になるので、将来的に多様な脅威アクター(Playful Taurusなど)がこれらの攻撃を使用する危険性があります。
  • 》 ロシアの侵攻前日、マイクロソフトが察知した異変 サイバー戦最前線 (朝日, 1/17)

     米国では2013年、ロシアに亡命した元米中央情報局(CIA)職員のエドワード・スノーデン氏による内部告発で、IT大手9社が政府が進める個人情報の収集に協力していたことが発覚。この時には政府とIT大手の「密約」に厳しい批判がわき起こった。

     だが、ウクライナ侵攻や中国の台頭で地政学的なリスクやサイバー攻撃の脅威が高まる今、国家とIT大手の連携は強まり、企業側からも公に「成果」が強調される状況になっている。

  • 》 「Microsoft Defender」に削除されたショートカットを修復するスクリプト、v2.0が公開  日本語環境では最新版の利用を推奨 (窓の杜, 1/17)

  • 》 「MSYS2」でWindows 7/8対応が終了 ~32bit版「Qt 6」のサポートも打ち切り (窓の杜, 1/17)

  • 》 座礁が続きますね

    • 護衛艦「いなづま」。 DD-105。 むらさめ型護衛艦。

      • 海自護衛艦「いなづま」が座礁(山口県周防大島沖) (中国新聞, 1/10)

      • 護衛艦「いなづま」を詳細調査へ 瀬戸内で座礁、造船所到着 (神戸新聞, 1/16)。 ジャパンマリンユナイテッド 因島事業所 (広島県尾道市)。

      • 護衛艦「いなづま」の航行不能、原因は運航面にあった可能性高いとの認識…海上幕僚長 (読売, 1/17)。機器不具合でも天候不順でもないので。

    • 巡視船「えちご」 。PLH-08。つがる型巡視船。

      • 巡視船「えちご」新潟 沖合で浅瀬に乗り上げ浸水 けが人なし (NHK, 1/18)

      • 【速報】海保の巡視船「えちご」座礁 新潟柏崎市沖 (テレビ朝日 / Yahoo, 1/18)

■ JVNVU#99928083 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2023.01.18)

 Apache 2.4.55 公開。3 件のセキュリティ欠陥を修正。

  • mod_devにおける境界外読み取りまたは0バイトの書き込みの脆弱性 - CVE-2006-20001
  • mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性 - CVE-2022-36760
  • mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題 - CVE-2022-37436

 iida さん情報ありがとうございます。

■ Firefox 109.0 / ESR 102.7.0、Firefox for Android 109 公開 (Mozilla, 2023.01.17)

 Thunderbird 102.7.0 はまだみたい。

  • Firefox 109.0, See All New Features, Updates and Fixes (Mozilla, 2023.01.17)

  • Firefox ESR 102.7.0, See All New Features, Updates and Fixes (Mozilla, 2023.01.17)

  • Firefox for Android 109.0, See All New Features, Updates and Fixes (Mozilla, 2023.01.17)

 Thunderbird 102.7.0 方面:

  • Thunderbird の OAuth 対応状況など (mozillazine.jp)

    個人アカウントだと outlook.office365.com、smtp.office365.com でも OAuth2 を使えない件ですが (中略) https://bugzilla.mozilla.org/show_bug.cgi?id=1685414#c57 来週リリースの 102.7.0 にて修正が適用されます。
  • Important: Thunderbird 102.7.0 And Microsoft Office 365 Enterprise Users (blog.thunderbird.net, 2023.01.17)

■ 2023.01.17

  • 》 Microsoft Edgeで印刷できない不具合。バージョン109から発生。対処方法・回避策あり (ニッチなPCゲーマーの環境構築Z, 1/16)。CTRL-P は駄目だけど、 CTRL-SHIFT-P なら ok なのだそうで。

    プリンター一覧に2バイト文字(全角)のプリンターがあるとこの不具合が発生します。一覧にある2バイト文字のプリンター名をすべて1バイト文字(半角)に変更するか、2バイト文字のプリンタードライバを削除すると、この不具合は発生しません。
  • 》 Avastが無料でランサムウェア復号ソフトを配布 (gigazine, 1/17)

  • 》 お掃除ロボットがスパイに? (Kaspersky, 1/17)。 「ルンバが撮ったトイレ中の女性の写真がFacebookに投稿された」という記事がネットで激論に (gigazine, 2022.12.20) を受けての記事みたい。

    ロボット掃除機によるデータの収集や漏洩のリスクを最小限に抑えるように、使い方を調整することは、そんなに難しいことではありません。例えば、自宅の間取りをメーカーのサーバーに送信しないように掃除機を設定したり、家族がいるときは掃除機を使わないようにしたり、寝室や書斎など特定の部屋に掃除機が入らないように設定することもできます。この最後のオプションは、ロボット掃除機上で設定できる場合もありますが、掃除機メーカーが販売しているバーチャルウォールバリアを利用するとさらに安全です。

    また、完全にオフラインで動作する掃除機モデルを選ぶことも現実的な選択肢の一つです。iRobot社には多くのオフライン対応モデルがありますが、起動のスケジュール設定やクリーニング情報の閲覧にはネット接続が必要で、さらに携帯電話にアプリをインストールする必要もあります。

  • 》 ロシア雇い兵組織「ワグネル」の元指揮官、ノルウェーに亡命申請 ウクライナで実態見て (BBC, 1/17)

    ロシアの人権団体「Gulagu」(中略) の創設者ウラジーミル・オセチキン氏はBBCに対し、メドベージェフ氏は2022年7月に4カ月契約でワグネルに加わったが、ウクライナでの職務中に多数の人権侵害と戦争犯罪を目撃して脱走したと語った。
  • 》 IntelやMicrosoftがロシアへのソフトウェア配信規制の一部をこっそり解除か (gigazine, 1/16)

  • 》 Microsoft Defender for Endpointで事件です。 (山市良のえぬなんとかわーるど, 1/16)。 「Microsoft Defender」がショートカットファイルを破壊・削除 ~Microsoftが対策、復旧策を案内 (窓の杜, 1/16) の件。

  • 》 イーロン・マスクのTwitter改革によって「日本で政治的なトレンドが減少」「インドでヘイトスピーチが増加」など世界中で変化が生じている (gigazine, 1/16)

  • 》 Dellが中国製のチップの使用を2024年までに削減・停止へ (gigazine, 1/6)

  • 》 個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 1/13)。2/12 まで。

  • 》 読みました! 「偽情報戦争」 (まるちゃんの情報セキュリティ気まぐれ日記, 1/15)。 まだ発売前だった。

  • 》 システム障害による米国内全便のフライト一時停止についてまとめてみた (piyolog, 1/14)。NOTAM の件。

  • 》 CircleCIへの不正アクセスについてまとめてみた (piyolog, 1/16)

  • 》 アフラックとチューリッヒの情報流出についてまとめてみた (piyolog, 1/13)。業務委託先から漏洩。

  • 》 12月のドコモ障害、故障検知ミス・不正確な手順書で延べ311万人に影響 総務省に報告書提出 (ITmedia, 1/16)

  • 》 GYAO と LINE LIVE、3/31 終了を発表

    • 「GYAO!」サービス終了のお知らせ (Zホールディングス, 1/16)

    • 「GYAO!」も終了へ 「LINE LIVE」と同時 ショート動画「LINE VOOM」に資源集中 (ITmedia, 1/16)

    • 「GYAO!」3月終了の余波 最終回が間に合わないアニメ多数 独占配信は代替手段なし (ITmedia, 1/16)。おぉぅ。

  • 》 イエティ航空 YT691 便墜落事故 (1/15) 方面。 ATR72-500。

    • ATR 72-500 (atr-aircraft.com)、 ATR 72 (ウィキペディア)

    • ネパール中部でイエティ航空機が墜落 29人死亡 (AviationWire, 1/15)

      イエティ航空は6機のATR72を保有。Aviation Wireの調べによると、事故機はインドのキングフィッシャー航空(13年に運航停止)が16年前の2007年8月に受領した機体で、座席数は1クラス66席だった。その後2社を経て、イエティ航空は2019年4月に受領している。

      機体自体はめちゃくちゃ古いというわけではなさそう。

    • ネパールYT691便墜落、死者68人に 16日は全便欠航 (AviationWire, 1/16)

    • ネパールの墜落事故、飛行機利用が世界で最も危険な国の評判強める (ブルームバーグ, 1/17)

    • 結果として、事故のライブ配信となってしまった模様。

      • ネパール墜落事故、搭乗客が動画をライブ配信 パイロットからは「異常報告なかった」と当局 (BBC, 1/17)

      • ネパールの飛行機墜落事故 機内からライブ配信されたという映像がTwitter上で拡散 (ITmedia, 1/16)

      • Final moments of Nepal plane crash captured by passenger on Facebook Live: Chilling footage filmed from inside doomed airliner as it plummets to the ground and bursts into flames killing at least 68 people on board (Daily Mail, 1/15)

      • 突然、画面乱れ…悲鳴も ネパール旅客機墜落直前の“ライブ配信”映像 68人の死亡確認 (TBS NEWS DIG / YouTube, 1/16)

    • ネパール 旅客機墜落事故 フライトレコーダーなど回収 (NHK, 1/16)

    • ネパール旅客機、墜落直前…左側に突然傾き 専門家「エンジン出力不足か」 (TV 朝日, 1/16)

  • 》 レッツノートはUSB PDをどこまで信じているのか (山田 祥平 / PC Watch, 1/14)

■ 2023.01.16

■ 2023.01.13

■ いろいろ (2023.01.13) (various)

Intel oneAPI Toolkit

AMD プロセッサー

■ 「Acrobat Reader」や「InDesign」など4つのAdobe製品に致命的な脆弱性 (窓の杜, 2023.01.11)

■ 追記

■ 2023.01.12

■ 2023 年 1 月のセキュリティ更新プログラム (月例) (Microsoft, 2023.01.11)

 はい、昨日出てます。まだぜんぜん読めてません。 Windows 7 / 8.1 は今回で終了です。

  • .NET Core
  • 3D Builder
  • Azure Service Fabric Container
  • Microsoft Bluetooth Driver
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Local Security Authority Server (lsasrv)
  • Microsoft Message Queuing
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft WDAC OLE DB provider for SQL
  • Visual Studio Code
  • Windows ALPC
  • Windows Ancillary Function Driver for WinSock
  • Windows Authentication Methods
  • Windows Backup Engine
  • Windows Bind Filter Driver
  • Windows BitLocker
  • Windows Boot Manager
  • Windows Credential Manager
  • Windows Cryptographic Services
  • Windows DWM Core Library
  • Windows Error Reporting
  • Windows Event Tracing
  • Windows IKE Extension
  • Windows Installer
  • Windows Internet Key Exchange (IKE) Protocol
  • Windows iSCSI
  • Windows Kernel
  • Windows Layer 2 Tunneling Protocol
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Local Security Authority (LSA)
  • Windows Local Session Manager (LSM)
  • Windows Malicious Software Removal Tool
  • Windows Management Instrumentation
  • Windows MSCryptDImportKey
  • Windows NTLM
  • Windows ODBC Driver
  • Windows Overlay Filter
  • Windows Point-to-Point Tunneling Protocol
  • Windows Print Spooler Components
  • Windows Remote Access Service L2TP Driver
  • Windows RPC API
  • Windows Secure Socket Tunneling Protocol (SSTP)
  • Windows Smart Card
  • Windows Task Scheduler
  • Windows Virtual Registry Provider
  • Windows Workstation Service

 今月は Servicing Stack Updates はありません。

 Exchange 方面特記事項:

今月の Microsoft Exchange の更新プログラムを適用すると、多層防御のための新機能である Exchange Server における PowerShell シリアライゼーションペイロードの証明書署名 が追加されます。 Exchange Server 管理者は、この新機能を手動で有効にする必要があります。有効化の手順、および機能の詳細については、 Exchange チームブログ Released: January 2023 Exchange Server Security Updates をご参照ください。

 0-day は 2 件。

 関連:

■ Chrome Stable Channel Update for Desktop (Google, 2023.01.10)

 Chrome 109.0.5414.74 (Linux)、Chrome 109.0.5414.74/.75 (Windows)、Chrome 109.0.5414.87 (Mac) が stable に。17 件のセキュリティ修正を含む。Mac 版だけずいぶん離れた番号だなあ。

 iOS 版も出ています: Chrome Stable for iOS Update (Google, 2023.01.10)

2023.01.13 追記:

 Windows 7 / 8.1、Windows Server 2012 / 2012 R2 対応は Chrome 109 までだそうです。

  • 「MathML」に対応した「Google Chrome 109」が正式版に ~Windows 7/8.1対応はこれが最後 (窓の杜, 2023.01.11)

  • Windows Server 2012/2012 R2対応も終了 ~「Google Chrome 110」からはWindows 10以降が必要に (窓の杜, 2023.01.13)

 Edge はどうなるんでしょうね。 …… Edge も同様のようです。

  • 「Microsoft Edge 109」が正式版に ~ルートストアをOSから「Chromium」へ移行 (窓の杜, 2023.01.13)

■ 2023.01.11

  • 》 決定、2022年マライ・メントライン文芸賞!『ロマニ・コード』(角悠介)を驚異と言わずなんとする (マライ・メントライン / QJWeb, 1/11)

    だからですね、これは版元に怒られるかもしれないけど、本書、たとえばこの内容のままでタイトルを『文学部の学者のくせに即物的にしか思考できないボクは奇怪言語で覚醒する』にして、電撃文庫とかから出したほうが市場に刺さって絶対売れるしウケる(というか知性の種が世に拡散される)と思うのですよ。電撃ノンフィクション叢書第一弾! とかいって。表紙が美女と加齢臭おやじの共演イラストになったりするのは内容的にもウソじゃないし(笑)。

     関連:

    • ツイート

      — 夜間飛行 (@bookyakan) January 10, 2023

■ 2023.01.10

  • 》 明日 (1/11 JST)は毎月恒例 Windows Update の日、Windows 8.1 最後の更新 (山市良のえぬなんとかわーるど, 1/10)

  • 》 Malware Analysis Operations(MAOps)の自動化 (JPCERT/CC Eyes, 1/10)

  • 》 LogonTracer v1.6 リリース (JPCERT/CC Eyes, 2022.12.21)

  • 》 「ブラジル議会襲撃」フェイクが後押しする暴力の背景とは? (新聞紙学的, 1/9)

  • 》 しょせん他人事ですからって、セリフ減ったねぇ。【勝手にPRシリーズ】 (壇弁護士の事務室, 2022.12.27)。3巻で 120 万部は、なかなかのものですね。

  • 》 情報法制研究12号に画期的な論文(連載第6回)を書いたのでみんな読んでほしい (高木浩光@自宅の日記, 2022.12.30)

    また、この論文の帰結から導かれる政策論のエッセンスは、先日発表された「GLOCOM六本木会議」の提言書に簡潔にまとめられているので、こちらもご覧いただきたい。
    • 【提言書公表】デジタル社会を駆動する『個人データ保護法制』に向けて, GLOCOM六本木会議, 2022年12月22日
    もはや学説よりも、一般人の理解の方が先に着いて来ている。
  • 》 内閣官房サイバーセキュリティセンター 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集 (まるちゃんの情報セキュリティ気まぐれ日記, 2022.12.27)。1/30 まで。

  • 》 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版) (まるちゃんの情報セキュリティ気まぐれ日記, 2022.12.24)

  • 》 「Windows 11 バージョン 22H2」の日本語変換にトラブル ~Microsoftが認める (窓の杜, 1/10)。回避不能ということみたい。

  • 》 10年以上前の古いAdobe製品は利用不可 ~2023年1月31日でログイン不能に  「Creative Suite 6」や初期版「Creative Cloud」サブスクリプションなどが対象 (窓の杜, 1/10)。世知辛い。

  • 》 2023年3月よりDigicert(デジサート) SSL/TLSサーバ証明書のルート証明書、 および中間CA証明書変更に関するご案内 (ZERONET, 2022.11.30)

    1. (再掲)適用予定日 2023年3月9日(木)2:00 (日本時間) (中略) 上記適用日以降に、新規、更新、再発行申請により発行される証明書は、 新しい中間CA証明書から発行されます。

     関連: (続報) SSL/TLSサーバ証明書のルート証明書、および中間CA証明書変更に関するご案内 (DigiCert, 2022.11.28)

  • 》 コードサイニング証明書を買う前に  2022年版 コードサイニング証明書 主要価格一覧 (山崎はるかのメモ, 2022.09.21 更新)。「初心者はセクティゴジャパンがおすすめ」

     関連: コード証明書(スタンダードタイプ)の仕様変更に関するお知らせ (セクティゴジャパン, 2022.11.01 更新)

    ※2022年11月1日追記

    証明書の仕様を策定するCA/ブラウザフォーラムは、コード証明書(スタンダードタイプ)及びそのサービスに関する新規定の適用について、USBハードウェア暗号モジュールトークン (HCM) を起因とするグローバルサプライチェーンの諸事情により、2023年6月1日まで延期することを決定いたしました。

    大変申し訳ございませんが、新規定を満たす証明書への最終的な移行日は現在未定となりました。当面、従来のダウンロード形式の証明書を販売させていただきますので、何卒、ご理解を賜りますよう、お願い申し上げます。

  • 》 玄人志向、電源ユニットに誤ったケーブルが付属。交換対応へ (PC Watch, 1/10)

  • 》 なぜ国産旅客機「MRJ」は失敗したのか 現場技術者に非はなかった? 知られざる問題の本質とは (ブースカちゃん / Merkmal, 1/9)

    つまり、MRJが挫折した理由の根本は、 「日本という国家が、航空機の安全を国際的に担保する能力に欠けている」 ことだ。

     そして、MRJ の挫折により、「次」にはまた 0 からやらなきゃならないんだよね。 ノウハウが残らないだろうから。

■ いろいろ (2023.01.10) (various)

■ 「Zoom」「Zoom Rooms」に複数の脆弱性 ~特権昇格やパストラバーサルの欠陥 (窓の杜, 2023.01.10)

 2023.01.06 付で https://explore.zoom.us/en/trust/security/security-bulletin/ にて公開されたもの。 いずれも最新版では修正されている。窓の杜記事には若干誤記があるので注意。

  • Zoom Rooms for Windows クライアント ( 5.12.7) に権限上昇を招く欠陥 CVE-2022-36929

  • Zoom Rooms for Windows インストーラー ( 5.13.0) に権限上昇を招く欠陥 CVE-2022-36930

  • Zoom Rooms for macOS クライアント ( 5.11.3) に権限上昇を招く欠陥 CVE-2022-36926 CVE-2022-36927

  • Zoom Rooms for macOS クライアント ( 5.11.4) に、セキュアでない鍵を生成してしまう欠陥 CVE-2022-36925

  • Zoom for Android クライアント ( 5.13.0) にパストラバーサル可能な欠陥 CVE-2022-36928

■ 2023.01.06

 あけましておめでとうございます。

  • 》 アイルランド、Metaにまた罰金 GDPR違反で約547億円 (ITmedia, 1/5)

  • 》 宅食「ナッシュ」に不正アクセス、約6000件の顧客情報流出か ランサムウェアに感染 (ITmedia, 1/5)

  • 》 差出人不明の年賀状、大量に誤送付「スマホで年賀状」が謝罪 数十万人超に影響 (ITmedia, 1/5)

    顧客から受注して発送した年賀状の一部で、 差出人欄に誤って同社の広告を印刷してしまい、誰から送られたか分からない状態で届けてしまった

     これは、シャレにならんなあ……。

  • 》 “MFAの標準搭載”がなぜベンダーに求められるのか――、ISRが解説 (クラウド Watch, 2022.12.21)

  • 》 「Slack」のソースコードが流出 ~顧客データは無事、サービスにも影響なし  社員の「GitHub」トークンが盗まれる (窓の杜, 1/6)。元ねた: Slack security update (Slack, 2022.12.31)

    On 29 December 2022, we were notified of suspicious activity on our GitHub account. Upon investigation, we discovered that a limited number of Slack employee tokens were stolen and misused to gain access to our externally hosted GitHub repository. Our investigation also revealed that the threat actor downloaded private code repositories on 27 December. No downloaded repositories contained customer data, means to access customer data or Slack’s primary codebase.

     notify したのが誰なのかは記載されていないのだけれど、文脈からして GitHub 運営元なのかな。 「a limited number of Slack employee tokens」が奪われたということなので、単数ではなさそう。

  • 》 Windows Server 2012/R2のサポートは今年10月まで、有償サポート「ESU」を3年間提供 (窓の杜, 1/5)

  • 》 古い「Microsoft Office」はExchange/SharePoint/OneDriveへ接続不能に? Microsoftが注意喚起  「Office 2016」や「Office 2019」は今年10月まで (窓の杜, 1/6)。移行圧力ですか。

  • 》 「Firefox」が「IE 11」と誤認されてしまう悲劇発生……開発チームが対応に追われる  期間限定でUA文字列が「凍結」 (窓の杜, 1/6)

■ パニックに注意:Linux Kernelのksmbdの脆弱性(Critical: CVE-2022-47939, CVE-2022-47940, CVE-2022-47942, Moderate: CVE-2022-47938, CVE-2022-47941) (SIOS SECURITY BLOG, 2023.01.01 更新)

 Linux kernel 5.15 〜 5.19 の ksmbd に複数の欠陥があり、 remote から無認証で任意のコードを実行できる等の状況が発生する。

  • CVE-2022-47938。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 6.5

    Linux Kernel ksmbd Out-Of-Bounds Read Denial-of-Service Vulnerability ZDI-22-1689 / ZDI-CAN-17818 (ZDI, 2022.12.22)。要認証で DoS。

  • CVE-2022-47939。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 9.8

    Linux Kernel ksmbd Use-After-Free Remote Code Execution Vulnerability ZDI-22-1690 / ZDI-CAN-17816 (ZDI, 2022.12.22)。無認証で RCE。

  • CVE-2022-47940。 Linux kernel 5.15 〜 5.18 系の ksmbd に欠陥。 5.18.18 で修正。 CVSS 3.1 Base Score: 8.1

    Linux Kernel ksmbd Out-Of-Bounds Read Information Disclosure Vulnerability ZDI-22-1691 / ZDI-CAN-17817 (ZDI, 2022.12.22)。要認証で情報漏洩。 これは ZDI 発ではない

  • CVE-2022-47941。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 7.5

    Linux Kernel ksmbd Memory Exhaustion Denial-of-Service Vulnerability ZDI-22-1687 / ZDI-CAN-17815 (ZDI, 2022.12.22)。無認証で DoS。

  • CVE-2022-47942。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 8.8

    Linux Kernel ksmbd Heap-based Buffer Overflow Remote Code Execution Vulnerability ZDI-22-1688 / ZDI-CAN-17771 (ZDI, 2022.12.22)。要認証で RCE。

  • CVE-2022-47943。 Linux kernel 5.15 〜 5.19 系の ksmbd に欠陥。 5.19.2 で修正。 CVSS 3.1 Base Score: 8.8

    これは ZDI 発ではない Linux Kernel ksmbd Out-Of-Bounds Read Information Disclosure Vulnerability ZDI-22-1691 / ZDI-CAN-17817 (ZDI, 2022.12.22)。要認証で情報漏洩。

 致命的なのは CVE-2022-47939。 Linux kernel 5.15 〜 5.19 系の欠陥なので、該当ディストリはそれほど多くない模様。

  • CVE-2022-47939: Critical RCE Vulnerability in Linux Kernel (Tenable Blog, 2022.12.29)。vuln と記載されているのは Debian Unstable、Ubuntu jammy、Ubuntu upstream。 記事では Ubuntu jammy は pending になっているが、 https://ubuntu.com/security/CVE-2022-47939 によるとリリース済とされている。

 関連:

  • Re: Details on this supposed Linux Kernel ksmbd RCE (oss-sec ML, 2022.12.23)

  • Re: Details on this supposed Linux Kernel ksmbd RCE (oss-sec ML, 2022.12.31)。上記 訂正前 訂正後、 の件。

過去の記事: 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

[セキュリティホール memo]