セキュリティホール memo - 2018.06

Last modified: Tue Jul 10 17:31:13 2018 +0900 (JST)

このページの情報を利用される前に、注意書きをお読みください。

しかく 2018年06月29日

しかく 2018年06月28日

しかく 追記

Security updates available for Flash Player | APSB18-19 (2018年06月08日)

Windows 7 + IE 11 + Flash Player 30 の環境で、動画の再生に不具合が生じることがある模様。

当面は、Chrome や Firefox など、別のブラウザを使うしかなさげ。

なお、どうしても Flash Player 29 に戻したい場合 (全く推奨できない) はこちらを参考に:

しかく 2018年06月27日

しかく 2018年06月26日

しかく レッツノート用「バッテリー診断・制御プログラム」でOSが起動しなくなる不具合
(PC Watch, 2018年06月25日)

パナソニック Let's Note のバッテリー不具合に対応するために、2018年06月12日 から公開された「バッテリー診断・制御プログラム」に欠陥。「Windowsがある割り込み制御を行なったタイミングと重なると、エラーが発生」し、起動できなくなる。当該エラーの発生確率は 0.4% だというが、回復にはメインボードの交換が必要になるという。

[引用] 同社によると、6月25日午前9時までのダウンロード数は、14,230台であり、そのうち、53台のPCで、起動しないなどの不具合が発生しているという。

本欠陥が発生するのは、「CF-S10/N10シリーズ、 CF-SX1/NX1シリーズ、 CF-SX2/NX2シリーズ」の模様。これら専用の「バッテリー診断・制御プログラム」、および全機種用の「バッテリー診断・制御プログラム」のダウンロードが停止されている。修正版は 2018年07月05日 公開予定。

しかく [Mailman-Users] Mailman 2.1.27 released
(Mailman-Users ML, 2018年06月22日)

Mailman 2.1.27 公開。セキュリティ修正が含まれています。二木さん情報ありがとうございます。

[引用] 
- Existing protections against malicious listowners injecting evil
 scripts into listinfo pages have had a few more checks added.
 JVN#00846677/JPCERT#97432283
- A few more error messages have had their values HTML escaped.
 JVN#00846677/JPCERT#97432283
- The hash generated when SUBSCRIBE_FORM_SECRET is set could have been
 the same as one generated at the same time for a different list and
 IP address. While this is not thought to be exploitable in any way,
 the generation has been changed to avoid this. Thanks to Ralf Jung.

https://bazaar.launchpad.net/~mailman-coders/mailman/2.1/revision/1785/NEWS によると、JVN#00846677 は CVE-2018-0618 だそうです。 こちらも二木さんの情報 (ありがとうございます)。

しかく 2018年06月25日

しかく 2018年06月22日

しかく いろいろ (2018年06月22日)
(various)

phpMyAdmin

moodle

しかく 2018年06月21日

しかく いろいろ (2018年06月21日)
(various)

Symantec Endpoint Protection

Cisco

GnuPG, Enigmail, GPGTools, python-gnupg (SigSpoof, CVE-2018-12020)

VMware AirWatch Agent

しかく 2018年06月20日

しかく 追記

2018 年 2 月のセキュリティ更新プログラム (月例) (2018年02月14日)

Windows 10 Version 1607 および Windows Server 2016 の KB4074590 の「既知の問題」について (マイクロソフト Network & AD サポートチーム公式ブログ, 2018年06月18日)

[引用] KB4074590 で winnat.sys ドライバーの不具合を修正した結果、winnat.sys が予約する TCP ポート番号が変化します。
これにより、KB4074590 を適用すると、以前はアプリケーション用に予約できていたポート番号を winnat.sys が予約することで、そのアプリケーション用に予約できなくなる可能性があります。

2018 年 6 月のセキュリティ更新プログラム (月例) (2018年06月13日)

関連:

Coinhive は不正指令電磁的記録なのか? (2018年06月12日)

関連:

しかく 2018年06月19日

しかく 2018年06月13日

しかく 2018 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018年06月13日)

出ました。IE / Edge, Windows, Office, ChakraCore, Flash Player。

2018年06月20日 追記:

関連:

しかく BIND 9.xの脆弱性(サービス提供者が意図しないアクセスの許可)について (CVE-2018-5738) - 設定の確認と適切な更新を強く推奨 -
(JPRS, 2018年06月13日)

BIND 9.9.12 / 9.10.7 / 9.11.3 / 9.12.0〜9.12.1-P2 における、 ACL のデフォルト設定に欠陥。 設定ファイル (named.conf) において

場合、再帰的問い合わせは localnets と localhost のみに限定される......はずが、 全ての IP アドレスに対して許可される = オープンリゾルバーになることが判明。

BIND 9.9.13 / 9.10.8 / 9.11.4 / 9.12.2 で修正される予定。 ACL を設定することで回避できる。

しかく OpenSSL Security Advisory [12 June 2018]
(OpenSSL, 2018年06月12日)

長大な DH パラメーターによってクライアント側が DoS 攻撃を受ける欠陥 CVE-2018-0732 を確認。 Severity: Low。OpenSSL 1.1.0i および OpenSSL 1.0.2p で修正される予定 (未リリース)。Git リポジトリ上では既に修正されている。

iida さん情報ありがとうございます。

しかく Chrome Stable Channel Update for Desktop
(Google, 2018年06月12日)

Chrome 67.0.3396.87 公開。1 件のセキュリティ修正を含む。

しかく 2018年06月12日

しかく Coinhive は不正指令電磁的記録なのか?
(various)

Coinhive を設置するとケーサツが飛んでくるらしい。

2018年06月13日 追記:

モロ氏が寄付について言及されています。

全然リプが追いついていなくてすみません。ポジティブな意見がほとんどで本当に泣きそうです。あと、ありがたいことに寄付をしたいと仰ってくれている方がいるのですが、「お金目当てじゃないんだよ!」というスタンスは貫きたいためお気持ちだけありがたく頂戴いたします。。!

— モロ (@moro_is) 2018年6月12日

YUKI Keiichi さんのツイート:

coinhiveの件。ウイルス罪に問うべきかという問題は一番大きいけど、神奈川県警の捜査のやり方も無視できんのよな。被疑事実の立証に全く不要な指紋を(おそらく脅して任意で)取ってDB登録してるし、押収したPCをそのまま返却しなきゃならないはずなのにまるっと消去してる(器物損壊)。ひでぇ。

— YUKI Keiichi (@yuki_k1) 2018年6月12日

あと、毎日がケーサツの主張たれ流し記事を出してます。

2018年06月20日 追記:

関連:

しかく 2018年06月11日

しかく いろいろ (2018年06月11日)
(various)

各種のアーカイブ操作用コードにディレクトリトラバーサル可能な欠陥

GnuPG

しかく 追記

ネットワーク機器を標的とするマルウェア「VPNFilter」について (2018年05月25日)

VPNFilter、対応ベンダーが増えたり第 3 段の機能がより攻撃的になったりした模様です。

しかく 2018年06月08日

しかく Security updates available for Flash Player | APSB18-19
(Adobe, 2018年06月08日)

Flash Player 29.0.0.171 以前に 0-day 欠陥 CVE-2018-5002、 Flash Player 30.0.0.113 で修正 (メジャーバージョンが上がってる!)。 Priority: 1 (Linux 版のみ 3)。

Flash Player 30.0.0.113 では上記の他に 3 件のセキュリティ修正を行っている。 CVE-2018-4945 CVE-2018-5000 CVE-2018-5001

2018年06月28日 追記:

Windows 7 + IE 11 + Flash Player 30 の環境で、動画の再生に不具合が生じることがある模様。

当面は、Chrome や Firefox など、別のブラウザを使うしかなさげ。

なお、どうしても Flash Player 29 に戻したい場合 (全く推奨できない) はこちらを参考に:

しかく 2018年06月07日

しかく Chrome Stable Channel Update for Desktop
(Google, 2018年06月06日)

Chrome 67.0.3396.79 公開。1 件のセキュリティ修正を含みます。 iida さん情報ありがとうございます。

しかく 追記

Firefox 60.0 / ESR 60.0 / ESR 52.8.0 公開 (2018年05月09日)

Firefox 60.0.2 / ESR 60.0.2 / ESR 52.8.1 公開されました。 セキュリティ修正 CVE-2018-6126: Heap buffer overflow rasterizing paths in SVG with Skia を含みます。 iida さん情報ありがとうございます。

しかく 2018年06月06日

しかく 2018年06月05日

しかく 追記

2018 年 5 月のセキュリティ更新プログラム (月例) (2018年05月11日)

リモート デスクトップ アプリ(UWP)と CredSSP 脆弱性対策の影響(追記:最新アプリは対策済み) (山市良のえぬなんとかわーるど, 2018年06月01日)

メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起 (2018年05月15日)

EFAIL の件、iOS 11.4, macOS High Sierra 10.13.5 で修正された模様。 (誤記修正: 池田さん感謝)

しかく Apple 方面 (macOS, Safari, iCloud for Windows)
(Apple, 2018年06月01日)

しかく Apple 方面 (iOS, watchOS, tvOS, iTunes for Windows)
(Apple, 2018年05月29日)

しかく 2018年06月04日

[セキュリティホール memo]
[私について]

AltStyle によって変換されたページ (->オリジナル) /