セキュリティホール memo

Last modified: Fri Sep 23 22:06:46 2016 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

SQL Server 2005 のサポートは 2016.04.12 で終了致しました。長らくのご愛顧、本当にありがとうございました。(BGM: 蛍の光)

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2016.09.23

OpenSSL Security Advisory [22 Sep 2016]
(OpenSSL, 2016.09.22)

 OpenSSL 1.1.0a, 1.0.2i, 1.0.1u 公開。 OCSP Status Request extension を使って client から server に DoS 攻撃を実施できる欠陥 CVE-2016-6304 など 14 件のセキュリティ欠陥を修正。iida さん情報ありがとうございます。

追記

Apple 関係 (macOS Sierra 10.12, Safari 10, macOS Server 5.2, iCloud for Windows 6.0) (2016.09.22)

 Takeshi Nishio さんのツイート (情報ありがとうございます)


2016.09.22

Apple 関係 (macOS Sierra 10.12, Safari 10, macOS Server 5.2, iCloud for Windows 6.0)
(apple, 2016.09.20)

 出ました。

 OS X 10.11 以前の更新は今後どうなるんだろう。出なさそうだけど。

2016.09.23 追記:

 Takeshi Nishio さんのツイート (情報ありがとうございます)

いろいろ (2016.09.22)
(various)

Drupal

PHP

追記

Adobe 方面 (Flash Player, Adobe Digital Editions, AIR SDK & Compiler) (2016.09.14)


2016.09.21

Firefox 49.0 / ESR 45.4.0 公開
(Mozilla, 2016.09.20)

 出ました。

 関連:

2016.09.22 追記:


2016.09.20

 本日、龍谷大学は全学終日休講です。

追記

2016 年 9 月のセキュリティ情報 (月例) – MS16-104 〜 MS16-117 (2016.09.14)

 IE / Edge 0-day の件:

いろいろ (2016.09.20)
(various)

Symantec Decomposer Engine (多くの製品に影響)

Firefox, Tor Browser

Cisco IOS, IOS XE, IOS XR

Moodle

GnuTLS

横河電機 中小規模向けPLC計装システム STARDOM

ウイルスバスター クラウド


2016.09.19


2016.09.16


2016.09.15

いろいろ (2016.09.15)
(various)

Dropbear SSH

Apache Shiro

cURL

MySQL

VMware ESXi, Workstation, Fusion, Tools


2016.09.14

Adobe 方面 (Flash Player, Adobe Digital Editions, AIR SDK & Compiler)
(Adobe, 2016.09.13)

 今月は 3 種。

 関連:

2016.09.22 追記:

 IE11 で古いバージョンの Flash ActiveX コントロールのブロックを開始 (日本のセキュリティチーム, 2016.09.22)

Chrome Stable Channel Update for Desktop
(Google, 2016.09.13)

 Chrome 53.0.2785.113 公開。セキュリティ修正を含む。iida さん情報ありがとうございます。

2016 年 9 月のセキュリティ情報 (月例) – MS16-104 〜 MS16-117
(日本のセキュリティチーム, 2016.09.14)

 出ました。CVE 数で言うと 50 + Flash Player 修正分 24 26、となります。

 あと SA 2 件。

2016.09.20 追記:

 IE / Edge 0-day の件:


2016.09.13

いろいろ (2016.09.13)
(various)

PowerDNS

Wireshark

日本国内で、ガス消火設備の放射音がデータセンターのハードディスクを破壊する可能性についてメーカーが注意喚起済み。実験でも回復不能になる事象を確認
(publickey, 2016.09.13)

 ING銀行の基幹データセンター、消防訓練で消火ガス噴射の衝撃音が大量のハードディスクとサーバを破壊。ATMや決済サービスが停止に (publickey, 2016.09.13) のような事態は、日本でもふつうに発生しかねない模様。

仮設検証試験室を用いた実験では不活性ガス消火設備のガス放出時には最大で130デシベルを超える音圧の音が発生。この状況で市販のサーバに格納した2.5インチハードディスクが障害を発生し、回復不能になる事象が確認されています。つまり、ING銀行と同様の事象は日本でも十分に起こりうると考えられます。

 マジか……。窒素やハロンを放出するようなものを導入している場合は要注意と。 静音形噴射ヘッド (コーアツ) のような対策品が用意されているそうです。


2016.09.12


2016.09.09

WordPress 4.6.1 メンテナンス・セキュリティリリース
(WordPress, 2016.09.08)

 2 件のセキュリティ修正が含まれるそうです。


2016.09.08

いろいろ (2016.09.08)
(various)

libcurl

Plone

GraphicsMagick


2016.09.07


2016.09.06

JVNDB-2016-004512 - GNU Mailman のユーザオプションページにおけるクロスサイトリクエストフォージェリの脆弱性
(JVN, 2016.09.05)

 GNU Mailman 2.1.x に CSRF 欠陥。Mailman 2.1.23 で修正されている。

追記

国内の複数のウェブサイトでつながりにくい状況--「DNS amp」攻撃の疑い (2016.09.02)

 関連:


2016.09.05


2016.09.02

いろいろ (2016.09.02)
(various)

認証局 WoSign

2016.09.05 追記:

Symantec GeoTrust Security Center

ColdFusion

AKABEi SOFT2 製品

LINE PC版(Windows版)

sudoers (Red Hat, Fedora, Mageia)

WebKitGTK+

追記

2016 年 8 月のセキュリティ情報 (月例) – MS16-095 〜 MS16-103 (2016.08.10)

 MS16-098 更新プログラムを適用すると印刷関係で不具合が起こることがあるようです。更新プログラムが公開されています。

Chrome Stable Channel Update for Desktop
(Google, 2016.08.31)

 Chrome 53.0.2785.89 が stable に。33 件のセキュリティ修正を含む。

国内の複数のウェブサイトでつながりにくい状況--「DNS amp」攻撃の疑い
(CNET, 2016.09.02)

 なんだか狙い撃たれているサイトがあるようで。関連:

2016.09.06 追記:

 関連:

Apple 方面 (Safari, OS X)
(Apple, 2016.09.01)

 Safari と OS X 更新出ました。

 About the security content of iOS 9.3.5 の修正の OS X 向け版のようです。


2016.09.01


過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]