セキュリティホール memo

Last modified: Wed Oct 15 11:54:01 2014 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr

 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。

 [ 定番情報源 ]  過去の記事: 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。

復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2014.10.15

Chrome、SSL 3.0 やめるってよ
(various, 2014.10.15)

 SSL 3.0 プロトコルに欠陥が発見されました。攻撃が成功すると平文を取得できるようです。TLS 1.0、1.1、1.2 プロトコルにはこの欠陥はありません。

 SSL 3.0 サポートを削除するための言い訳に使われた感? しかし Google 様の意向には逆らえない。

2014.10.14

追記

2014 年 10 月 15 日のセキュリティ リリース予定 (月例) (2014.10.13)

 今回、NATO やウクライナ政府などへの攻撃に使われた 0-day 欠陥の修正が含まれているそうです: iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign (iSIGHT, 2014.10.14)。CVE-2014-4114

On Tuesday, October 14, 2014, iSIGHT Partners – in close collaboration with Microsoft – announced the discovery of a zero-day vulnerability impacting all supported versions of Microsoft Windows and Windows Server 2008 and 2012.

 セキュリティ情報 3 (緊急) か、セキュリティ情報 5 (重要) ですか。

2014.10.13

追記

ベネッセから顧客情報 760 万世帯分が流出、名簿屋から情報を購入したジャストシステムがダイレクトメールを送付して発覚 (2014.07.09)

 関連:

  • ファミマTポイントカード作ったみやびちゃん(仮名・10歳)、なぜかベネッセから個人情報が漏れましたとお詫びちゃれんじ貰う (市況かぶ全力2階建, 2014.10.13)。T ポイント → ベネッセ → 漏洩、の模様。

  • 14年度中に業務終了=情報流出の子会社-ベネッセ (時事, 2014.10.09)。シンフォーム。

  • ベネッセの報告書を読んで浮かんだ違和感 (ZDNet, 2014.10.07)

     本報告書では、調査当初は対象データが約2億1639万件であり、それを統合して約6984万件、名寄せした結果が約3504万件、個別のデータとして約4858万人分のデータになったと記載されています。
     この報告から分かることは、個人データをバラバラに管理していたということです。個人情報を提供する側からすればベネッセコーポレーションに提供しているつもりで、一元的に管理されていることが期待されるところですが、残念ながらそうはなっていなかったということです。
     このような状況で情報管理をしている企業では、個人情報保護法における主体(本人)の有する自己コントロール権に対して適切な対応ができない可能性が高いということです。
     例えばメールマガジンの配送停止を依頼した際やデータの削除を依頼した際に、すべてのサービスについてそれが全うされないだろうということが予測されます。

2014 年 10 月 15 日のセキュリティ リリース予定 (月例)
(日本のセキュリティチーム, 2014.10.10)

 緊急 x 3、重要 x 5、警告 x 1。IE あり、NET Framework あり、Office あり (Mac 版も)。

2014.10.14 追記:

 今回、NATO やウクライナ政府などへの攻撃に使われた 0-day 欠陥の修正が含まれているそうです: iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign (iSIGHT, 2014.10.14)。CVE-2014-4114

On Tuesday, October 14, 2014, iSIGHT Partners – in close collaboration with Microsoft – announced the discovery of a zero-day vulnerability impacting all supported versions of Microsoft Windows and Windows Server 2008 and 2012.

 セキュリティ情報 3 (緊急) か、セキュリティ情報 5 (重要) ですか。

2014.10.10

TCP 10000番ポートへのスキャンの増加に関する注意喚起
(JPCERT/CC, 2014.10.10)

 Webmin 狙いらしい。

TCP 10000番ポートは、ウェブベースのシステム管理ツールである Webmin の 標準ポートとして利用されることが多く、開発者によると Webmin は先日公開 された GNU bash の脆弱性の影響を受けるとのことです。

 関連:

2014.10.09

追記

2014 年 8 月のマイクロソフト セキュリティ情報の概要 (2014.08.16)

 MS14-046 更新プログラム 2966827・2966828 で不具合が発生しているようです。 更新プログラム 3005628 で修正。

2014.10.08

OpenSSH 6.7/6.7p1 がリリースされました.
(春山 征吾のくけー, 2014.10.07)

 OpenSSH 6.7/6.7p1 出たそうです。 

* sftp-server(8): サポートするプラットフォームでは
  prctl() を用いて sftp-server が /proc/self/{mem,maps} に
  アクセスするのを防ぐ.

 ForceCommand internal-sftp で、かつ ChrootDirectory を設定していない場合に、 /proc/self/{mem,maps} を使ってアレできる件への対応だそうです。 [FD] OpenSSH <=6.6 SFTP misconfiguration exploit for 64bit Linux 参照。

 関連: chrootされたsftp専用ユーザを作るメモ (Qiita, 2014.06.10)

Chrome Stable Channel Update
(Google, 2014.10.07)

 Chrome 38.0.2125.101 が stable に。159 件 (!) のセキュリティ修正を含む。 内 113 件は、MemorySanitizer を使って発見した、比較的マイナーなセキュリティ修正だそうで。

 同時公開:

2014.10.07

いろいろ (2014.10.07)
(various)

Webmin, Usermin

Bugzilla

追記

USB周辺機器が“悪者”に、BlackHatで実証ツール公開予定 (2014.08.01)

 DEF CON 22で仕入れた悪意のあるUSBデバイス (マクニカネットワークス セキュリティ研究センターブログ, 2014.10.03)。BadUSB のわかりやすい解説。

ユーザに対する教育として以下の基本的な2点を厳守させることが最も手っ取り早い対策となるかもしれません。

  • 出所が不明な「いかなる」USBデバイスを接続しない
    • スマホ充電器も含む 
  • 離席時に画面ロックをする(攻撃者にUSBデバイスを接続されても、ログオン画面では悪いプログラムが発動できない)

Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ (2014.10.03)

 ……根津 研介さん曰く、bash 4.3.30 等は

本日GNU bash Upstreamで公開された下記のMichal Zalewski さんのパッチですが、CVE-2014-6278の対策パッチではなく、Florian Weimer さんの緩和パッチ(問題を検出するとabort()する)を、abort()させないコードに直してGNU Upstreamが取り込んだ時にコマンドラインのパーサー状態が中途半端な状態になるエンバグの修正パッチです。
RedHatとCentOSはabort()するFlorianさんの初期パッチを取り込んでいるので関係しませんが、GNUのUpstreamを見ているディストリの類はパッチを取り込んだ方がいいみたいです。
あと、Florianさんの緩和条件について、追加のケースがあって、下記の場合もエラーになるようになります。
1.パーサーのバッファになんか残ってる(関数定義以外に何か追加されている)。
2.既に定義済みのシェル関数と同じ名前のシェル関数を環境変数で定義しようとしている。

 エンバグ修正 + よりきちんと緩和されるようになったと。

2014.10.06

追記

Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ

CVE-2014-6277、CVE-2014-6278 対応について

  • 黒木さんから (情報ありがとうございます)。以下の「今日」は 2014.10.03 です。 

    CVE-2014-6277、CVE-2014-6278は、まだどのメーカも
対応できてないのではないかと思います。

MLすべて読んでないのでまちがっているかもしれせんが、
このあたりに再現方法がかかれています。

more bash parser bugs
http://www.openwall.com/lists/oss-security/2014/10/01/17

bash -c "f(){ x(){ _;}; x(){ _;}<<a;}"
Segmentation fault

CentOS5,6,Debian7,Solaris11とやってみましたが全部落ちました。

bashメンテナーのRameyさんがパッチ準備中といってるので、
今日の昼頃出たmake_cmd.cとcopy_cmd.cのパッチで治るのかもしれないです。

  • 野村さんから (情報ありがとうございます) 

    記事でCVE-2014-6277及びCVE-2014-6278の修正とされている、
例えばbash-4.1なら
http://lists.gnu.org/archive/html/bug-bash/2014-09/msg00280.html
は、修正ではなく軽減策です。
これを適用する事により、任意の名前の環境変数を作成できるユーザ以外には攻撃が
できなくなると言う物です。
逆に言えば、任意の名前の環境変数を作成できるのならば依然として攻撃可能です。

例えばRed Hatの場合、
---
$ env a='〜略〜' bash -c :
---
を
---
$ env 'BASH_FUNC_a()'='〜略〜' bash -c :
---
とすれば問題再現できます。

つまり、CVE-2014-6277、CVE-2014-6278は、bashオフィシャルの最新パッチでも
修正されていないと言うのが正確かと思います。
Red Hat等がCVE-2014-6277、CVE-2014-6278を修正済みとしていないのも、
おそらくこのためでしょう。

ただし前述の通り、攻撃には任意の名前の環境変数を作成できる必要がある為、
その様な事が可能な環境以外では、それ程心配する状況ではないと判断して
良いと思います。
少なくともCVE-2014-6271やCVE-2014-7169の様な、mod_cgi経由でのお手軽攻撃
などは不可能と考えて大丈夫でしょう。

  • de-dion さんから (情報ありがとうございます) 

    CVE-2014-6277 CVE-2014-6278 については
関数をエクスポートする時の環境変数名が変更された事によって
CGI経由での攻撃は防げるようになっているため
実質安全なっていると言えますが
脆弱性そのものは修正されていないようです。

以下のケースの問題は起きなくっていますが

# CVE-2014-6277
env 'HTTP_COOKIE=() { x() { _; }; x() { _; } <<a; }' bash -c :
# CVE-2014-6278
env 'HTTP_COOKIE=() { _; } >_[$($())] { echo hi mom; id; }' bash -c :

以下のように環境変数を指定した場合は現象が発生します。

# CVE-2014-6277
env 'BASH_FUNC_a()=() { x() { _; }; x() { _; } <<a; }' bash -c :
# CVE-2014-6278
env 'BASH_FUNC_a()=() { _; } >_[$($())] { echo hi mom; id; }' bash -c :

環境変数名はOSによって若干異なるようですのでご注意下さい。

export -f a の場合

BASH_FUNC_a%% (bash本家)
BASH_FUNC_a() (RedHad/CentOS)
BASH_FUNC_<a>() (MacOS)

以下のセキュリティエラータがリリース済みとなっていないのは
このためではないかと思います。
https://access.redhat.com/security/cve/CVE-2014-6277
https://access.redhat.com/security/cve/CVE-2014-6278

 うぉぅ……。また書き直さないと……書き直した。

 ……で、bash 4.3.30 等出てます。tjy1965 さん情報ありがとうございます。

  • 黒木さんからの情報にある bash -c "f(){ x(){ _;}; x(){ _;}<<a;}" の例は、bash 4.3.29 で落ちなくなりました (手元の FreeBSD 8.4 でテストして、bash 4.3.28 で落ち bash 4.3.29 では落ちないことを確認)。

  • de-dion さんからの情報にある 

    # CVE-2014-6277
env 'BASH_FUNC_a()=() { x() { _; }; x() { _; } <<a; }' bash -c :
# CVE-2014-6278
env 'BASH_FUNC_a()=() { _; } >_[$($())] { echo hi mom; id; }' bash -c :

    ですが、FreeBSD ports の bash 4.3.29 ではこうなりました。(FreeBSD なので --import-functions が必要) 

    % env 'BASH_FUNC_a%%=() { x() { _; }; x() { _; } <<a; }' bash --import-functions -c :
bash: warning: here-document at line 0 delimited by end-of-file (wanted `a')
% env 'BASH_FUNC_a%%=() { _; } >_[$($())] { echo hi mom; id; }' bash --import-functions -c :
hi mom
uid=XXXXX(kjm) gid=XXXXX(後略)

    FreeBSD ports の bash 4.3.30 だとこうです。 

    env 'BASH_FUNC_a%%=() { x() { _; }; x() { _; } <<a; }' bash --import-functions -c :
bash: warning: here-document at line 0 delimited by end-of-file (wanted `a')
% env 'BASH_FUNC_a%%=() { _; } >_[$($())] { echo hi mom; id; }' bash --import-functions -c :
bash: a: line 0: syntax error near unexpected token `{'
bash: a: line 0: `a () { _; } >_[$($())] { echo hi mom; id; }'
bash: error importing function definition for `a'

 bash 4.3.30 では CVE-2014-6277、CVE-2014-6278 に対応しているということでいいのかな。

Changelog

  • 2014.10.06 - 「CVE-2014-6277、CVE-2014-6278 対応について」を追加。 表については、bash 4.3.30 で対応するとして書き直した。 また Buffalo の項に情報を、VMware の項を VMSA-2014-0010.7 に更新。

2014.10.03

追記

USB周辺機器が“悪者”に、BlackHatで実証ツール公開予定 (2014.08.01)

 Phison 2251-03 (2303) Custom Firmware & Existing Firmware Patches (BadUSB) (github)。コード公開されました。

いろいろ (2014.10.03)
(various)

Xen

MediaWiki

phpMyAdmin

Squid

Bash ShellShock バグ (CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187) 修正情報まとめ
(various)

 UNIXとLinuxの「Bash」シェルに重大なセキュリティホール がわけわかめになったので、別途まとめます。 全ての欠陥に対応したものだけを「修正済」とします。

 原則として各文書の字面しか追ってないので注意。 特に CVE-2014-6277 と CVE-2014-6278 は 「CVE-2014-6271 と CVE-2014-7169 の不完全な修正」によるもののため、場合によっては対応が明記されていないかもしれない。

製品、ベンダー 修正済バージョン 備考 更新日付
Apple OS X 不十分 不十分版: OS X bash Update 1.0 - OS X MavericksOS X Mountain LionOS X Lion 2014.10.03
Barracuda 不十分 不十分版: Barracuda Networks products and CVE-2014-6277, CVE-2014-6278, and CVE-2014-7169: aftershock and two related vulnerabilities。CVE-2014-7186, CVE-2014-7187 に未対応 2014.10.03
Bash 4.3.30, 4.2.53, 4.1.17, 4.0.44, 3.2.57, 3.1.23, 3.0.22, 2.05b.13 2014.10.06
CentOS 不十分 不十分版: CentOS 5CentOS 6CentOS 7。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.06
Cisco 未修正 情報: GNU Bash Environment Variable Command Injection Vulnerability 2014.10.03
Debian 不十分 不十分版: DSA-3035-1 bash -- security update。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.03
バッファロー Buffalo 未修正 情報: GNU BashにおけるOSコマンドインジェクションの脆弱性 2014.10.03
FreeBSD 最新の ports/shells/bash で修正済 (bash-4.3.30) 2014.10.06
IO DATA 不十分 不十分版: GNU bash の脆弱性に関する弊社調査・対応状況について。CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 に未対応 2014.10.03
マカフィー McAfee 一部製品は修正済 情報: マカフィーセキュリティ情報 – Bash Shellshock Code Injection Exploit Updates (CVE-2014-6271、CVE-2014-7169) 2014.10.03
Oracle 一部製品は修正済 情報: Bash "Shellshock" Vulnerabilities - CVE-2014-7169 2014.10.08
QNAP 不十分 不十分版: QNAP Releases New QTS for the Turbo NAS with Fix on GNU Bash Environment Variable Command Injection Vulnerability 2014.10.03
Red Hat 不十分 不十分版: RHSA-2014:1306-3。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.03
Synology 不十分 不十分版: Synology 製品セキュリティ勧告 2014.10.03
Ubuntu 不十分 不十分版: USN-2364-1: Bash vulnerabilities。CVE-2014-6277, CVE-2014-6278 対応は軽減策 (ソースで確認) 2014.10.03
Vine Linux 不十分 不十分版: bash にセキュリティホール。CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 に未対応 (ソースで確認) 2014.10.03
VMware VMSA-2014-0010.7 2014.10.06
ヤマハ Yamaha GNU Bash 「OS コマンドインジェクション」の脆弱性について 2014.10.03

 関連:

 新出さんから (情報ありがとうございます) 

Debianが修正不十分となっていますが
Debian(wheezy,squeeze-ltsで確認)のbashに9/25G時点で当たっているパッチのうち
CVE-2014-6271.diff      がCVE-2014-6271対応
CVE-2014-7169.diff      がCVE-2014-7169対応
variables-affix.patch   がCVE-2014-6277+6278対応
parser-oob.patch        がCVE-2014-7186+7187対応
のようなので、Debianは「修正済」ということになるのではないかと思います。
CentOSも同様のようですが、確認はしていません。

 やっぱソース読むしかなさげ (T_T) CentOS、Debian、Red Hat、Ubuntu、Vine Linux については ソースを読んだ結果を反映した。

CVE-2014-6277、CVE-2014-6278 対応について

 うぉぅ……。また書き直さないと……書き直した。

 ……で、bash 4.3.30 等出てます。tjy1965 さん情報ありがとうございます。

 bash 4.3.30 では CVE-2014-6277、CVE-2014-6278 に対応しているということでいいのかな。

 ……根津 研介さん曰く、bash 4.3.30 等は

本日GNU bash Upstreamで公開された下記のMichal Zalewski さんのパッチですが、CVE-2014-6278の対策パッチではなく、Florian Weimer さんの緩和パッチ(問題を検出するとabort()する)を、abort()させないコードに直してGNU Upstreamが取り込んだ時にコマンドラインのパーサー状態が中途半端な状態になるエンバグの修正パッチです。
RedHatとCentOSはabort()するFlorianさんの初期パッチを取り込んでいるので関係しませんが、GNUのUpstreamを見ているディストリの類はパッチを取り込んだ方がいいみたいです。
あと、Florianさんの緩和条件について、追加のケースがあって、下記の場合もエラーになるようになります。
1.パーサーのバッファになんか残ってる(関数定義以外に何か追加されている)。
2.既に定義済みのシェル関数と同じ名前のシェル関数を環境変数で定義しようとしている。

 エンバグ修正 + よりきちんと緩和されるようになったと。

Changelog

2014.10.02

追記

UNIXとLinuxの「Bash」シェルに重大なセキュリティホール (2014.09.25)

2014.10.01

過去の記事: 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

[セキュリティホール memo]
[私について]