いろいろ 02/06 002

l  》 TBS「news23」に放送倫理違反　BPO「映像の見た目を優先した」　JA共済“自爆営業”報道で (ITmedia, 1/12)

 

l  「iOS 17.3」の新機能「盗難デバイスの保護」に重大な問題--対策は？ (CNET, 1/30)

 

l  エレコム WiFi ルーター WRC-X1800GS-B / WRC-X1800GSA-B / WRC-X1800GSH-B / WRC-X6000XS-G / WRC-X6000XST-G

JVNVU#90908488 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性 (JVN, 2024.01.23)。更新版ファームウェアあり。

 

l  ヤマハ WiFi アクセスポイント WLX222 / WLX413 / WLX212 / WLX313 / WLX202

JVNVU#99896362 ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性 (JVN, 2024.01.23)。更新版ファームウェアあり。

 

l  》 Microsoft、ハッキング被害を受ける。従業員の一部メールが流出 (ニッチなPCゲーマーの環境構築Z, 1/20)、 Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard (MSRC, 1/19)

 

• Oracle Java SE Risk Matrix (Oracle)。 13 件のセキュリティ欠陥を修正。

o   JDK Releases (java.com)。21.0.2 / 17.0.10 / 11.0.22 / 8u401 ですか。

§  JavaSE Development Kit 21.0.2 (JDK 21.0.2) (Oracle, 2024.01.16)

§  Java SE 17.0.10 - Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.01.16)

§  Java SE 11.0.22 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.01.16)

§  Java SE 8u401 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.01.16)

o   OpenJDK Vulnerability Advisory: 2024/01/16

o   Download Liberica JDK (bell-sw.com)

o   Amazon Corretto (GitHub)

 

l  CVE-2023-51385, CVE-2023-6004: OpenSSH, libssh: Security weakness in ProxyCommand handling
(oss-sec ML, 2023.12.26)

 

• ■ SMTP Smuggling 　←回避方法記載あり
• (postfix.org, 2023.12.24 更新) 　『SMTP でも HTTP request smuggling のような攻撃が可能だという SMTP Smuggling - Spoofing E-Mails Worldwide (SEC Consult, 2023.12.18) が発表されたのだが、coordination の失敗により Postfix の開発者に情報が一切渡っていなかった模様。』　

…

• sendmail と exim も:

sendmail snapshot 8.18.0.2 (google groups, 2023.12.20)。「for testing」なので、リリース版ではないみたい。

Bug 3063 - Partially vulnerable to "SMTP Smuggling" if pipelining is enabled and chunking is disabled/unused (exim, 2023.12.22)

CVE: CVE-2023-51765 が sendmail、 CVE-2023-51766 が exim。

CVE-2023-51766: Exim: SMTP smuggling (oss-sec ML, 2023.12.29)。Exim 4.97.1 で対応。

 

• ■ JVN#23771490 バッファロー製 VR-S1000 における複数の脆弱性
  (JVN, 2023.12.26)

バッファローの法人向け VPN ルーター VR-S1000 (販売終了) に 4 種類の欠陥。

²  Web 管理画面にログイン可能な攻撃者によって、任意の OS コマンドを実行される - CVE-2023-45741

²  当該製品のコマンドラインインターフェイスにアクセス可能な攻撃者によって、任意のコマンドを実行される - CVE-2023-46681

²  当該製品内の特定ユーザのパスワードを解析される - CVE-2023-46711

²  Web 管理画面にアクセス可能な攻撃者によって、機微な情報を窃取される - CVE-2023-51363