セキュリティホール memo

Last modified: Fri Jun 24 18:09:01 2016 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

SQL Server 2005 のサポートは 2016.04.12 で終了致しました。長らくのご愛顧、本当にありがとうございました。(BGM: 蛍の光)

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2016.06.24

追記

JTB 標的型攻撃事件まとめ (2016.06.17)


2016.06.23

Vulnerability Note VU#143335 - mDNSResponder contains multiple memory-based vulnerabilities
(US-CERT, 2016.06.20)

 379.27 以上、625.41.2 未満の mDNSResponder に複数の欠陥、remote から任意のコードを実行できる。

 関連:

追記

JTB 標的型攻撃事件まとめ (2016.06.17)

WordPress 4.5.3 メンテナンス・セキュリティリリース
(WordPress, 2016.06.22)

 複数のセキュリティ修正 + 不具合修正。日本語版も公開されました。


2016.06.22

追記

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)

 関連:


2016.06.21

APSB16-18 - Security updates available for Adobe Flash Player
(Adobe, 2016.06.16)

 Flash Player 22.0.0.192 等公開。 0-day 欠陥の件を含め、 36 件のセキュリティ欠陥を修正。

プラットホーム バージョン Priority rating
Desktop Runtime (Windows, Mac) 22.0.0.192 1
Extended Support Release (Windows, Mac) 18.0.0.360 1
Google Chrome 22.0.0.192 1
Windows Server 2012 の Internet Explorer 10 22.0.0.192 1
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 22.0.0.192 1
Windows 10 の Internet Explorer 11 / Edge 22.0.0.192 1
Linux 11.2.202.626 3

いろいろ (2016.06.21)
(various)

bzip2

libtiff <= 4.0.6

Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起
(JPCERT/CC, 2016.06.20)

 Apache Struts 2.3.20 〜 2.3.28.1 に欠陥、REST プラグインを使用している場合に remote から任意のコードを実行できる。CVE-2016-4438

 Apache Struts 2.3.29 で修正されている。


2016.06.20

いろいろ (2016.06.20)
(various)

トレンドマイクロ Deep Discovery Inspector

NETGEAR D6000、D3600

 日本では売られたことがない?

I・O データ EXT-R

Cisco 無線 LAN ルーター RV110W, RV130W, RV215W

追記

いろいろ (2016.06.02)


2016.06.17

いろいろ (2016.06.17)
(various)

VMware

Adobe

Drupal

APSB16-23 - Security update available for Adobe AIR
(Adobe, 2016.06.16)

 Windows 版 AIR 22.0.0.153 公開。 Windows 版 AIR 21.0.0.215 以前には、 インストーラーにおけるディレクトリ検索パスの扱いに欠陥があり、攻撃者にシステムの制御を奪われる可能性があった。 CVE-2016-4126

追記

2016 年 6 月のセキュリティ情報 (月例) – MS16-063, MS16-068 〜 MS16-082 (2016.06.15)

 関連:

 あと、定例外で MS16-083 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3167685) が出ました。

APSA16-03 - Security Advisory for Adobe Flash Player (2016.06.15)

 Flash Player 更新出ました: APSB16-18 - Security updates available for Adobe Flash Player (Adobe, 2016.06.16)。22 系列になっている。

JTB 標的型攻撃事件まとめ
(various)

 いちばんよく書けているのはこの記事:

 JTB オフィシャル:

 提携先オフィシャル:

 役所:

 関連報道など:

2016.06.20 追記:

 追加:

2016.06.21 追記:

 追加:

2016.06.23 追記:

 追加:

2016.06.24 追記:

 追加:

Chrome Stable Channel Update
(Google, 2016.06.16)

 Chrome 51.0.2704.103 公開。3 件のセキュリティ欠陥が修正されている。


2016.06.16


2016.06.15

2016 年 6 月のセキュリティ情報 (月例) – MS16-063, MS16-068 〜 MS16-082
(日本のセキュリティチーム, 2016.06.15)

 Microsoft 定例出ました (まだ全然読めてない)。 ……って、重要な告知が:

手動でセキュリティ更新プログラムをダウンロードされるお客様向けに、マイクロソフトはこれまで、セキュリティ更新プログラムを、マイクロソフト ダウンロード センター、および Microsoft Update カタログの 2 か所に公開し、セキュリティ情報ではダウンロード センターに公開しているセキュリティ更新プログラム パッケージへのリンクを掲載してきました。今後、セキュリティ更新プログラムはダウンロード センターへの公開を停止し、Microsoft Update カタログのみに継続公開する予定です。

2016.06.17 追記:

 関連:

 あと、定例外で MS16-083 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (3167685) が出ました。

APSA16-03 - Security Advisory for Adobe Flash Player
(Adobe, 2016.06.14)

 Flash Player 21.0.0.242 (最新) 以前に 0-day 欠陥 CVE-2016-4171 だそうです。 修正版は、早ければ 6/16 (US 時間) にも公開予定だそうです。

 関連:

2016.06.17 追記:

 Flash Player 更新出ました: APSB16-18 - Security updates available for Adobe Flash Player (Adobe, 2016.06.16)。22 系列になっている。

追記

Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ (2016.05.17)


2016.06.14


2016.06.13


2016.06.08

いろいろ (2016.06.08)
(various)

Wireshark

GnuTLS

Symantec Embedded Security / Critical System Protection / Data Center Security:

Apache Struts 1

TERASOLUNA Server Framework for Java(WEB)

Firefox 47.0 / ESR 45.2.0 公開
(Mozilla, 2016.06.07)

 Firefox 47.0 / ESR 45.2.0 出ました。ESR 38 系列の更新は終了しています。

KB87253 - DAT 8183 を配布後、DAT が更新できない
(マカフィー, 2016.06.05)

 VSE 8.8.x + 64bit 版 Windows 7 / Server 2008 R2 の環境で、VSE Mcshield サービスが突然停止したり、DAT 8184 以降への更新ができない場合がある模様。その場合はこうするとよいそうで:

  1. C:\ProgramData\McAfee\Common Framework\UpdateDir または C:\ProgramData\McAfee\Agent\UpdateDir (McAfee Agent のバージョンおよび更新状況に依存、KB87253 参照) を除外設定に追加。「サブフォルダも除外」もチェックすること。

  2. http://update.nai.com/products/commonupdater/ から DAT 8184 をダウンロードして更新

  3. 除外設定を削除

 Yoshioka さん情報ありがとうございます。関連:


2016.06.07

いろいろ (2016.06.07)
(various)

libtiff

Apache Struts2

Apache Shiro

dosfstools

Docker


2016.06.06


2016.06.03

いろいろ (2016.06.03)
(various)

GCM nonce reuse attack

NTP.org ntpd

「悪魔のように賢い」とGoogleのエンジニアが舌を巻く「悪意あるハードウェア」が登場
(gigazine, 2016.06.03)

 Malicious Hardware の時代が到来した模様。チップレベルで malicious。

そもそもは、より小さなトランジスタを使うためにチップ設計のコストが上昇したことで、メーカーがチップ設計を海外・第三者の設計メーカーに発注することが多くなったのが、「悪意あるハードウェア」誕生の1つの原因となっています。発注を受けた設計メーカーでは、問題ない設計ができたかどうか製造前チェックを行いますが、この段階に悪意ある攻撃者が入り込み、ありそうもない順序の攻撃用トリガーを仕掛けると、試験装置ではそれが「悪意あるハードウェアである」と検出することができません。

 確か攻殻機動隊 2 に、バックドア入りチップの話が出てきていたような気が……。 ここでも時代が攻殻に追いついたようだ。


2016.06.02

いろいろ (2016.06.02)
(various)

phpMyAdmin

Cisco Prime Network Analysis Module

Environmental Systems Corporation 8832 Data Controller

 主に US で使われている製品だそうです。

2016.06.20 追記:

サイボウズ ガルーン 4.2

Chrome Stable Channel Update
(Google, 2016.06.01)

 Chrome 51.0.2704.79 公開。15 件のセキュリティ欠陥が修正されている。 iida さん情報ありがとうございます。


2016.06.01


過去の記事: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]