セキュリティホール memo

Last modified: Mon Jul 16 18:23:28 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.07.16


2018.07.13

新たなサイドチャンネル攻撃 TLBleed 登場
(various)

 また出ました。

いろいろ (2018.07.13)
(various)

VMware Tools

cURL

Kea DHCP server

Explzh

追記

2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)

いろいろ (2018.07.09) Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N

WG1200HP, W300P, HC100RC についてより詳細な情報が開示された模様:

他の奴も似たりよったりということなんですかねえ。


2018.07.12

注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります
(JPNIC, 2018.07.10)

 BIND・Knot Resolver・Unbound・PowerDNS Recursor における、EDNS に対応しない/できない機器への回避策の実装を、2019.02.01 以後はもうやめる (削除する) そうです。 堪忍袋の緒が切れた、という感じでしょうか。

 とりあえず、https://dnsflagday.net/ を見ながらテストするのが吉のようです。

追記

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)

 Apple Boot Camp が 6.4.0 で対応されました:

Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15)

 Security updates available for Adobe Acrobat and Reader | APSB18-09 ですが、2018.05.25 付の変更で、Track 名称が Consumer から Continuous に改訂されていました。

2018 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.07.11)

 出ました。IE / Edge, Windows, Office, SharePoint, ChakraCore, Flash Player, .NET Framework / ASP.NET, Microsoft Research JavaScript Cryptography Library, Skype for Business / Lync, Visual Studio, Wireless Display Adapter V2, PowerShell Editor Services / Extension for Visual Studio Code, Web Customizations for Active Directory Federation Services。多いね!

 EMET は 2018.07.31 でいよいよサポート終了だそうです。 手元の Windows 7 機の移行作業も実施しないと……。

 関連:

2018.07.13 追記:

 関連:


2018.07.11

Adobe 方面 (Acrobat, Connect, Experience Manager, Flash Player)
(Adobe, 2018.07.10)

 Adobe 方面出てました。Priority は 2 (Linux 用 Flash Player だけ 3)。

 関連:

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows, iTunes for Windows 更新)
(apple, 2018.07.09)

 Apple 方面出てました。

 関連:

ClamAV 0.100.1 has been released!
(ClamAV, 2018.07.09)

 ClamAV 0.100.1 公開。セキュリティ修正 3 件を含みます。


2018.07.09

いろいろ (2018.07.09)
(various)

Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N

Knot Resolver

LTE

WordPress 4.9.7 セキュリティ・メンテナンスリリース
(Wordpress, 2018.07.08)

 セキュリティ修正は次の件のようです。

バージョン 4.9.6 以前の WordPress は、特定の権限を持つユーザーが uploads ディレクトリ外のファイルを削除できてしまう可能性のあるメディアの問題の影響を受けます。

 これに加えて 17 件の不具合修正が含まれるそうです。


2018.07.05

人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か
(窓の杜, 2018.07.04)

 Firefox 用のユーザースタイルシート管理用アドオン Stylish に欠陥。 プライバシーポリシーでは非個人的なデータのみを収集することになっているが、 実際には、全ての閲覧履歴を収集していた模様。

パスワードのリセットなどで用いられる認証トークンを含んだURLや、コンテンツの共有に使われるワンタイムURLも含まれるため、個人の特定はおろか、機密情報の入手も不可能ではない。

 Firefox 用 Stylish は 2018.07.03 付でブロックされた

 Chrome 用 Stylish にも同様の問題があるかどうかは不明。

 関連: "Stylish" browser extension steals all your internet history (Robert Heaton, 2018.07.02)


2018.07.04

VMSA-2018-0016 - VMware ESXi, Workstation, and Fusion updates address multiple out-of-bounds read vulnerabilities
(2018.06.28)

 VMware ESXi 6.7、Workstation 14.x、Fusion 10.x の shader translator に複数の欠陥、情報漏洩や、一般ユーザー権限での VM の crash を招く。 CVE-2018-6965 CVE-2018-6966 CVE-2018-6967。 ESXi 5.5 / 6.0 / 6.5 にはこの欠陥はない。

 ESXi 6.7 用の patch ESXi670-201806401-BG、および Workstation 14.1.2、Fusion 10.1.2 で修正されている。

追記

Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15)

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004 (2018.04.26)

Firefox 61.0 / ESR 60.1.0 / ESR 52.9.0 公開
(Mozilla, 2018.06.26)

 そういえば出てましたね。iida さん情報ありがとうございます。 ESR 52 系列はいよいよ終了です。

 Thunderbird 52.9.0 も 2018.07.03 付で出てました。


2018.07.02


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]