セキュリティホール memo

Last modified: Tue Aug 23 19:51:57 2016 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

SQL Server 2005 のサポートは 2016.04.12 で終了致しました。長らくのご愛顧、本当にありがとうございました。(BGM: 蛍の光)

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2016.08.23

追記

2016 年 8 月のセキュリティ情報 (月例) – MS16-095 〜 MS16-103 (2016.08.10)

 Office for Mac 2011、Office 2016 for Mac 用の MS16-099 更新プログラムが公開されたそうです。


2016.08.22

いろいろ (2016.08.22)
(various)

PostgreSQL

Adobe Experience Manager

Apple

phpMyAdmin

VMware

Ninja Forms

NUUO、Netgear

Perl

シスコ、脆弱性情報を公開--Shadow Brokersがハッカー集団Equation Groupから盗み出したデータが発端
(ZDNet, 2016.08.18)

 こちら:

 関連:


2016.08.19

いろいろ (2016.08.19)
(various)

Libgcrypt、GnuPG 1.4

cURL

Android 機器 (Qualcomm チップセット限定)

Android 4.4〜 / Linux 3.6〜4.6

IO DATA HVL-A シリーズ、HVL-AT シリーズ、HVL-ATA シリーズ

WPAD 対応アプリ

Microsoft、Windows 8.1/7向けの更新プログラムを10月以降に単一化へ
(クラウド Watch, 2016.08.17)

 元ねた:

 ふむん……。「特定の更新プログラムのインストールを拒否することで Windows 10 強制アップデートを避ける」ようなことは、今後は困難になるのかな。

2016 年 10 月以降、Windows に関してセキュリティおよび信頼性の問題の両方を解決する 1 つの 更新プログラムを月例のロールアップとしてリリースします。(中略) Windows では今後、過去にリリースした修正プログラムを月例のロールアップにプロアクティブに追加していきます。私たちのゴールは、最終的に今まで出荷したすべての修正プログラムを取り込んで月例のロールアップを累積的とし、お客様が最新の更新プログラムをインストールするだけでシステムを完全に最新の状態にできるようにすることです。すべてのバージョンの Windows の更新に関して、その信頼性と品質を向上させるために、月例のロールアップ モデルに移行することを推奨します。

 そうまでして均質化したいのですね。 そうしても問題ないレベルまで更新プログラムの品質が上がってくれないと困るのですが、どうなんでしょう。

また、2016 年 10 月以降、Windows に関して 1 つのセキュリティのみの更新プログラムをリリースします。(中略) Windows Update からは月例のロールアップのみが公開され、セキュリティのみの更新プログラムは Windows Update からは公開されません。セキュリティのみの更新プログラムにより、エンタープライズは可能な限り小さな更新プログラムをダウンロードしつつ、より安全なデバイスの状態を維持することができます。

 WSUS などから提供、ということですかね。


2016.08.10

2016 年 8 月のセキュリティ情報 (月例) – MS16-095 〜 MS16-103
(Microsoft, 2016.08.10)

 出ました。Office for Mac 2011、Office 2016 for Mac 用の MS16-099 更新プログラムはまだ用意されていないそうです。

2016.08.23 追記:

 Office for Mac 2011、Office 2016 for Mac 用の MS16-099 更新プログラムが公開されたそうです。


2016.08.09


2016.08.05


2016.08.04

「Classic Shell」のダウンロードミラーがハッキング、トロイの木馬に差し替えられる
(窓の杜, 2016.08.04)

 あらあら、昨日 4.3.0 インストールしたばかりなのに……

ダウンロードしたインストーラーが正規のものであるかどうかをチェックするには、以下のようにすればよい。

 手許で確認した限りでは、今ダウンロードできる奴はこんな感じ:

MD5 (ClassicShellSetup_4_3_0.exe) = e10881b65c27c6e09e5a33cd8bcd99c6
SHA1 (ClassicShellSetup_4_3_0.exe) = a6b06d07fe3b1a7204b1b62c67fbf3c602385364
SHA256 (ClassicShellSetup_4_3_0.exe) = 4ee910b283871ab31ef03eeb15d9557e89b55eda8f0580340b4dd2fc90305ac8

 オリジナルの情報はこちら: The Classic Shell software got hacked [Aug 2 2016] (Classic Shell: Forum, 2016.08.02)

Chrome Stable Channel Update for Desktop
(Google, 2016.08.03)

 Chrome 52.0.2743.116 公開。10 件のセキュリティ欠陥が修正されているそうです。 iida さん情報ありがとうございます。


2016.08.03

Firefox 48.0 / ESR 45.3.0 公開
(Mozilla, 2016.08.02)

 Firefox 48.0 / ESR 45.3.0 出ました。


2016.08.02

いろいろ (2016.08.02)
(various)

Wireshark


2016.08.01

opensshでユーザの存在を確認できる脆弱性(CVE-2016-6210)
(てきとうなメモ, 2016.07.18)

 2016.08.01 公開の OpenSSH 7.3 で修正されました。release-7.3

sshd(8): Mitigate timing differences in password authentication that could be used to discern valid from invalid account names when long passwords were sent and particular password hashing algorithms are in use on the server. CVE-2016-6210, reported by EddieEzra.Harari at verint.com

過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]