![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Tue Oct 15 19:08:59 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 電通局長、W杯警備の大学生に暴行容疑…注意されたたく (読売 / Yahoo, 10/15)
ツイート:
macOS Catalina (10.15)環境におきまして弊社Creative Cloud製品利用に関する問題が確認されております。
— アドビ サポート担当 (@AdobeSupportJ) October 9, 2019
主にmacOS Catalinaが64-bitのアプリケーションのみをサポートしていることによる影響・機能制限となります。
Lightroom Classic and macOS Catalina (10.15)https://t.co/8JoEAIJgaU
— アドビ サポート担当 (@AdobeSupportJ) October 9, 2019
Photoshop and macOS Catalina (10.15)https://t.co/XlZWpS3EZb
Known issues with Creative Cloud packages on macOS 10.15 Catalinahttps://t.co/sTec4hgqzb
ダム方面
ダム緊急放流、水位調節は実施されず 国交省、対応調査へ (カナロコ, 10/14)
昨年の西日本豪雨の教訓として有識者から提言されていた事前の水位調節は、6ダムとも実施していなかった。(中略) 6ダムは、国が管理する美和ダム(長野県)、県が管理する高柴ダム(福島県)、水沼ダム、竜神ダム(ともに茨城県)、塩原ダム(栃木県)、城山ダム(相模原市緑区)。
正直、にわかには信じ難いのだが。各ダムは、洪水調節容量分については水利権調整不要で事前放流できるはずだし、この状況ならふつうは実施するはず。
実際、昨年の西日本豪雨では、野村ダム・鹿野川ダムは事前放流を実施していた。 野村ダムについては、洪水調節容量分を越えて事前放流していた。 にもかかわらずああいうことになり、もっと何かできたのではないかという議論が起きたわけで。
野村ダム・鹿野川ダムの操作に関わる 情報提供等に関する検証等の場 (四国地方整備局)。 とりまとめ(本文)、 とりまとめ(参考資料) (2018.12)。
野村ダム・鹿野川ダム操作ルールの考え方について意見を募集します (国土交通省, 4/16)。 各ダムの治水能力を増強した上で、オペレーションを変更。
野村ダム・鹿野川ダムの新たな操作ルールの考え方に ついて寄せられたご意見に対するダム管理者の考え方 (国土交通省, 5/24)
野村ダム・鹿野川ダムの新たなダム操作ルールの考え方を公表しました。 (愛媛県大洲市, 5/25)
野村ダム・鹿野川ダムの操作規則を変更しました。 (国土交通省, 6/7)
美和ダムについては、治水能力を強化する工事をしている最中のようで。
八ツ場ダム、非供用だったからこその活躍を見せる (供用中だったら緊急放流実施だった)
結局、ダムに期待しすぎなんだよなあ。河川全体での治水能力向上を行わないと駄目なわけで。
武蔵小杉方面
武蔵小杉駅近くのマンションでは浸水も 台風19号が接近の神奈川県川崎市 (AbemaTimes, 10/12)
消えた河川敷、泥かぶる高層マンション…空から見た東京 (朝日, 10/13)
浸水した武蔵小杉駅、始発から再開 水没した改札は閉鎖 (朝日, 10/14)
タワーマンション 浸水で停電や断水 高層階も階段で 川崎 (NHK, 10/14)
住みたい街・武蔵小杉の”セレブタワマン”が停電・断水 住民たちは近隣ホテルへ【台風19号泥水被害】 (文春オンライン, 10/14)
JR武蔵小杉駅 浸水で電源設備故障続く 通勤時間帯は大混雑も (NHK, 10/15)
武蔵小杉の47階建てタワマン断水 24階より下が停電 (朝日, 10/15)
逆流下水は糞尿混じり…武蔵小杉タワマン台風19号浸水被害ルポ (日刊ゲンダイ / Yahoo, 10/15)
高層階のトイレを含めた排水は、下水管を通じ下に流れていくのだが、屋外へ排水ができなくなり、下水管を逆流。低層階のトイレや洗濯機、台所の排水溝から噴出してしまう事態になっている。
武蔵小杉ではNECや富士通拠点も被害 停電やビル浸水 (朝日, 10/15)
町山智浩 加藤浩次の吉本興業告発と韓国映画『共犯者たち』を語る (miyearnZZ Labo, 7/23)
プチ鹿島 吉本興業・岡本社長会見と普天間基地跡地利用を語る (miyearnZZ Labo, 7/23)
吉本興業はいつから、どのようにして”国策企業”にまでなったのか? (速水健朗×おぐらりゅうじ / 文春オンライン, 7/23)
吉本興業の「理屈」は、まっとうな世の中には通用しない (郷原信郎 / Yahoo, 7/22)
“吉本興業下請法違反”が、テレビ局、政府に与える重大な影響 (郷原信郎 / Yahoo, 7/23)
吉本興業は、芸人との契約の「違法性」を否定できるのか (郷原信郎 / Yahoo, 7/25)
吉本興業は下請法違反? ギャラの認識で芸人と食い違い、書面のやりとりもなし (弁護士ドットコム, 7/24)
経営アドバイザリー委員会
経営アドバイザリー委員会 委員につきまして (吉本興業ホールディングス, 8/8)
第 1 回: 8/8
吉本興業 有識者による「経営アドバイザリー委員会」を開催で第1回は反社との決別や契約問題を議論 専属エージェント契約を導入へ (Edge Line, 8/8)
吉本興業、書面での契約へ 有識者会議の助言を受け入れ (朝日, 8/8)
吉本興業が「経営アドバイザリー委員会」実施、識者はどうみたか。「契約書が吉本側に有利なものではないか注視が必要」 (生田綾 / ハフポスト, 8/9)
第 2 回: 8/19
「経営アドバイザリー委員会」第2回も反社会的勢力排除とタレントとの契約を集中審議 タレント400人ほどにヒアリングも (Edge Line, 8/19)
吉本興業経営アドバイザリー委員会のご報告 (三浦瑠麗, 8/22)
第 3 回: 9/2
吉本興業 タレントへギャラの料率開示へ 経営アドバイザリー委員長・川上和久氏「タレントさんの一番の関心事はそこにあったといいます」 (Edge Line, 9/2)
吉本興業、芸人にギャラ取り分開示へ 経営アドバイザリー委員に例示 9対1ではなく「半額前後」 (ORICON NEWS, 9/2)
吉本興業「闇営業監視人だった」元マネージャーが決意の告白 (FRIDAY / Yahoo, 8/24)
吉本興業にみる日本の会社〜「任侠モデル」と「企業パターナリズム」 (井戸 まさえ / 現代ビジネス, 8/26)
吉本興業<上>政府有識者懇談会メンバー・大崎会長の実像 (有森隆 / 日刊ゲンダイ, 8/28)、 吉本興業<下>資本金125億円を1億円に減資したミステリー (有森隆 / 日刊ゲンダイ, 8/29)
吉本興業の芸人待遇問題、現場からは「驚くほど何も変わっていない」の声…このまま風化が狙い? (日刊サイゾー, 9/22)
加藤浩次、本日ついに「加藤の乱」決着! エージェント契約開始も「吉本との関係」ほぼ変わらず? (サイゾーウーマン, 10/1)
加藤浩次、個人事務所「加藤タクシー」設立 吉本とは「エージェントとして仕事の契約を結ぶ」 (ORICON NEWS, 10/15)
友近、ついに吉本と決別!? 「水谷千重子」商標出願で山田邦子状態か (エンタMEGA, 10/15)
sudo 1.8.27 以前に欠陥。sudo の実行は許可されているが root 権限での実行は許可されていないユーザーが、root 権限を取得できてしまう。
Potential bypass of Runas user restrictions (sudo, 2019.10.14)。詳細。
Sudo Flaw Lets Linux Users Run Commands As Root Even When They're Restricted (The Hacker News, 2019.10.14)
sudo 1.8.28 で修正されている。
それにしても、sudo、いつのまに食パンマンになったんだ?
》 あいちトリエンナーレ「表現の不自由展」再開後初の天皇動画上映に拍手が湧いた理由 (篠田博之 / Yahoo, 10/10)。10/8 の2回目入場者30人に篠田さんが当選されたそうで。当日の様子のレポート。
》 Thoma Bravo to take Sophos Group private in $3.8 billion deal, focus on cybersecurity (reuters, 10/14)。投資会社ですか。
》 Endpoint Protection クライアントと Mac との互換性 (シマンテック, 10/9更新)。 macOS 10.15 Catalina の対応は「未定 (14.2 RU2 の見込み)」になっている。 SEP 14.2 RU2 はまだリリースされていない。 リリース済みの Symantec Endpoint Protection のバージョン情報 (シマンテック, 9/30 更新) を見ると、14.2.1.1 (14.2 RU1 MP1) ビルド 14.2.4815.1101 が最新。 何が変わったんだ? と思って Endpoint Protection 14.2 RU1 MP1 で修正された問題とコンポーネントのバージョン: 14.2.4815.1101 の追加修正 (シマンテック, 9/27 更新) を見ると
14.2.4815.1101 の追加修正
14.2 RU1 MP1 へアップグレード後、一部のアプリケーションにアクセスできない
修正 ID: ESCRT-2418
症状: バージョン 14.2 RU1 MP1 にアップグレードした後、一部のユーザーで MMC.exe、RegEdit.exe などのアプリケーションにアクセスしたり、Windows Update を適用したりできない。
ソリューション: インストール、アップグレード、またはアンインストール時に、ClDS アーティファクトを Windows CatRoot ディレクトリから適切にクリーンアップします。
おぉぅ……
あとこんなの: Endpoint Protection Manager 14.2 RU1 に JDB を適用しても Endpoint Protection 14.2 RU1クライアントが侵入防止定義を更新しない (シマンテック, 9/30 更新)。SEP 14.2 RU2 で修正予定。
この問題は Symantec Endpoint Protection (SEP) 14.2 RU2 で改修される予定です。入手可能になるのは、現時点では 2019 年 11 月の予定です。
そういえば出てました。
About the security content of macOS Catalina 10.15 (Apple, 2019.10.07)。 10.13 や 10.14 にも同様の修正が施されるのかどうかは不明。
About the security content of iTunes 12.10.1 for Windows (Apple, 2019.10.07)。UIFoundation と WebKit。任意のコードを実行できる欠陥などを修正。
About the security content of iCloud for Windows 10.7 (Apple, 2019.10.07)、 About the security content of iCloud for Windows 7.14 (Apple, 2019.10.07)。 前者は Windows 10 以降用、Microsoft Store 経由。 後者は Windows 7 以降用。 UIFoundation と WebKit。任意のコードを実行できる欠陥などを修正。 iTunes 12.10.1 とほぼ同内容だが、CVE-2019-8720 は含まれない。
About the security content of Swift 5.1.1 for Ubuntu (Apple, 2019.10.14)。Foundation。
また、セキュリティ欠陥の修正は含まれないが、Safari 13.0.2 が 2019.10.07 付で macOS Mojave 10.14.6 と High Sierra 10.13.6 用として公開されている。
気象庁「1200人以上犠牲の狩野川台風に匹敵 特別警報も」 (NHK, 10/11)
台風19号に伴い首都圏でJR東日本が計画運休を決定、新幹線・私鉄各線も運休に (Buzzap!, 10/11)
あすは都心部で事実上鉄道利用できない状態に (NHK, 10/11)
【速報】東京ディズニーランド・ディズニーシーが12日に終日休園、台風19号の影響で (Buzzap!, 10/11)
イトーヨーカ堂 12日は8都県の124店舗すべてで臨時休業 (NHK, 10/10)
台風19号による集荷・配達への影響について(10月11日14時現在) (佐川急便, 10/11)。「以下の地域において、10月12日(土)のお荷物の集荷・配達及び営業所・サービスセンターでのお荷物のお預かりと引き渡し業務を中止させていただきます」 「茨城県、栃木県、群馬県、埼玉県、千葉県、東京都、神奈川県、山梨県、静岡県、愛知県、三重県」
台風19号の影響による荷物のお届けについて (ヤマト運輸, 10/11)。関西、中部、北信越、関東、東北で終日停止など。
》 進次郎 ニューヨークへ ~担当記者同行記~ (NHK, 10/4)
》 Amazon製監視カメラによる録画がAmazon従業員によってチェックされていたことが判明 (gigazine, 10/11)
》 アマゾン、機械学習で偽造品を撲滅へ 「Project Zero」日本でも開始 (ITmedia, 10/9)
tmux 実装に欠陥があり、iTerm2 3.3.6 で修正されているそうです。
Chrome 77.0.3865.120 公開。5 件のセキュリティ欠陥を修正。 $20500 なんて懸賞金も出てるなあ。
香港警察、実弾発砲、高校生が重体 (10/1)
香港デモ「反中」が鮮明に 複数の住宅街で衝突 (朝日, 10/1)
警官が実弾発砲、高校生が肩撃たれ重体 香港大規模デモ (朝日, 10/1)。「肩」と言っているのは香港警察なので注意。
香港デモで警官が実弾発砲 18歳高校生が重体 (日経, 10/1)
香港で抗議参加者が実弾で撃たれる、デモ開始から初めて (BBC, 10/1)
香港デモ、18歳が警官に撃たれ負傷…至近距離からか (読売, 10/2)
香港、実弾使用に衝撃 警察への批判高まる (日経, 10/1)
香港警察、4カ所で実弾6発発砲 180人以上を逮捕 (日経, 10/2)。「残りの5発は威嚇射撃で、けが人は出ていないと警察は説明した」
高校生に発砲、在校生ら抗議 香港デモ「動画見て恐怖」 (朝日, 10/2)
【香港発】デモ隊の少年、実弾で胸撃たれ重体 警察は「暴動」と定義 (田中龍作ジャーナル, 10/2)
香港当局、銃撃された高校生を起訴 反発強まる (日経, 10/3)
高校生に発砲、広がる不信と怒り 金融街でも数千人デモ (朝日, 10/3)
中国、香港デモ「カラー革命」と断定 強硬姿勢前面に (日経, 10/5)
香港の警官はなぜ18歳の高校生を撃ったのか「発砲事件」の真相 (ふるまい よしこ / 現代ビジネス, 10/5)。前の週から警官の対応が変わってきていたという話。
前掲のニューヨークタイムズの検証動画でも指摘されているが、荃湾で18歳の青年の胸を撃ち抜いた警官は、同時にゴム弾かビーンバック弾用のライフルとペッパースプレーを所持しているのが動画で確認できる。なのに、腰につけていたホルスターからわざわざ拳銃を抜き、それを相手の胸めがけて発射したのである。
検証動画の記事はこちら: Hong Kong Police Shoot a Protester, 18, With a Live Bullet for the First Time (NYTimes, 10/1)。 また、林鄭行政長官のコミュニティ対話 (9/26) での発言を紹介。
だが、ここで林鄭長官は非常に興味深い、驚くべき発言をしている。
背広姿の若い男性が述べた、「香港の一国二制度を破壊しているのは、香港独立派ではない。香港は一国二制度を維持できるし、自治をきちんとやっていけるはずだ」という意見に向けてこう言ったのだ。
「若者と一緒に歩み続けたいと思っています。しかし、大変重要なことですが、香港は一国二制度は維持するといっても、それは『自治』ではない。申し訳ないのですが、香港の自治は一国二制度ではないのです。なのできちんと理解してほしいのは、我われにはボトムラインがあるということです」
「港人治港」、つまり「香港人による香港自治」と訳されてきたこの言葉を彼女は否定した。さらに、主権返還時から中国政府も高らかにもてはやしてきた「高度な自治」もそこで否定したのである。
香港デモ急変!香港政府・中国、若者、日本の政治家が全員「残念」な理由 (上久保誠人 / ダイヤモンド online, 10/8)
「警察は肺を返せ!」香港デモ実弾発砲で学友が涙の抗議 「若者狩り」が止まらない (週刊朝日 dot., 10/9)
香港政府、緊急状況規則条例を発動。覆面禁止法を制定 (10/4)、発効 (10/5)
香港、デモ参加者の覆面禁止へ 過激行為抑制狙う (日経, 10/3)
香港政府、デモ参加者のマスク禁止 多数が激しい抗議 (BBC, 10/5)。10/4 の様子。
香港の「覆面禁止法」は対岸の火事じゃない (東京, 10/5)
「緊急法」とは? “緊急事態“に政府が議会無視で法案施行が可能に 香港返還後で初の発動 (ハフポスト, 10/5)
香港、禁止のマスク姿でデモ 「緊急条例」に反発 (日経, 10/5)。10/5 の様子。
香港、覆面姿で数万人デモ 禁止規則に抗議 (日経, 10/6)。10/6 のデモ。
香港、数万人がマスク姿でデモ 政府機関を襲撃など暴力行為 (BBC, 10/7)。10/6 のデモ。
あえてマスク姿で覆面禁止法に抗議 香港デモ怒り広がる (朝日, 10/7)。10/6 のデモ。
[FT]香港デモ、銃撃された高校生が抗議活動の象徴に (日経, 10/7)
「覆面禁止法」で初起訴、香港 マスク姿で抗議も (AFPBB, 10/7)
香港、覆面禁止で77人逮捕 累計逮捕者2300人超 (日経, 10/8)
香港行政長官「緊急条例、覆面禁止法以外の適用は計画せず」 (ロイター / ニューズウィーク日本版, 10/8)
香港警察追跡アプリ HKmap.live、アップルは一旦取り下げるも一転して承認
アップル、香港の警察追跡アプリを承認。App Storeからの取り下げを撤回 (engadget, 10/8)
中国、アップルに警告 香港デモ支持は「浅はかで無謀」 (AFPBB, 10/10)。人民日報ですか。
中国がアップル非難、香港警察の活動追跡アプリ承認で (Wall Street Journal, 10/10)
炎上: ヒューストン・ロケッツ方面
16年ぶり日本開催「NBA」に飛び火した香港デモ問題。Twitter投稿に激怒の中国、炎上は止まるのか? (Business Insider Japan, 10/7)
「NBAは表現の自由を守る」チーム幹部が“香港デモ支持”ツイート、中国で批判。トップが釈明 (ハフポスト, 10/9)
「TikTokから消えたヒューストン・ロケッツ」が意味すること (マイナビニュース, 10/10)
炎上: ティファニー方面
右目隠しただけ… ティファニーに「香港デモ支持」批判 (朝日, 10/9)
ティファニー広告に中国人抗議=片目姿は「香港デモ支持」 (時事, 10/9)
Hong Kong|香港での抗議デモの影響拡大 「ティファニー」は投稿削除 中国「リーニン」はNBAチームとの提携中止 (SEVENTIE TWO, 10/9)
ゲーム方面
香港の反政府デモがeスポーツに飛び火、デモ参加者を支持した選手をブリザードが排除 (CNET, 10/9)
Blizzardは、中国ネット大手のテンセントが有力株主であるゲーム会社のひとつ。同社は2017年時点でActivision Blizzardの株式を4.9%保有していた。そのほかUbisoft、Epic、Riot Gamesなどの各社もテンセントが株主となっている。
香港デモへの支持を表明したプロゲーマーが賞金はく奪&トーナメント参加禁止措置をとられてしまう (gigazine, 10/9)
その他
香港経済、深まる混迷 アジアの金融ハブ揺らぐ (日経, 10/5)
香港デモが組み込んだいくつもの「死」の物語 - 香港2019(11) (池田 信太朗 / 日経ビジネス, 10/8)。とても誠実な文章。
【香港発】新疆ウイグルで研修する香港警察 酷似する弾圧方法 (田中龍作ジャーナル, 10/8)
香港デモ、富裕層には無縁-オークション活況で奈良氏作品も高額落札 (ブルームバーグ, 10/9)
「デモ隊に中国スパイがいる?」「周庭さんがリーダー?」今さら聞けない“香港デモ入門・12のQ&A” (安田 峰俊 / 文春オンライン, 10/10)
「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)
【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。
2019 年 10 月のセキュリティ更新プログラム (月例) (2019.10.09)
関連:
【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。
【アプデ/7/8.1】 WindowsUpdate 2019年10月度 注意事項と各KBメモと直リンク [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)
》 気象庁公式の防災情報Twitterアカウントがオープン。今週末に向けて忘れずフォローを (やじうま Watch, 10/9)
》 Amazonの「注文履歴流出騒動」、ユーザーの名前や連絡先も閲覧可能だったことをアマゾンジャパンが認める (Internet Watch, 10/9)。 きちんと公開した方が好感度上がると思うのだがなあ。
10月8日時点で再度問い合わせたところ、原因は「サイト内の不具合」によるもので、Amazon.co.jpにおいて26日午前3時45分に発生し、同日午後1時15分に解消したとの回答を得られた。
さらに、この不具合によって一部ユーザーの名前、購入履歴、配送先住所、連絡先、クレジットカード下4桁の情報が他のユーザーから閲覧可能な状態になっていたことを認めた。(中略) 被害件数について確認したところ「Amazon.co.jpのアカウントのごく一部」と回答。
出ました。Windows、IE / Edge (EdgeHTMLベース)、 ChakraCore、 Office、 SQL Server Management Studio、 Open Source Software、 Dynamics 365、 Windows Update Assistant。「Open Source Software」は Open Enclave SDK と Azure App Service on Azure Stack のことでいいのかな。
関連:
Release Notes - October 2019 Security Updates (Microsoft)
Microsoftが10月の月例パッチ公開、Windowsなどの脆弱性を修正 (クラウド Watch, 2019.10.09)
関連:
【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。
【アプデ/7/8.1】 WindowsUpdate 2019年10月度 注意事項と各KBメモと直リンク [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)
OpenSSH 8.1 公開。セキュリティトピックが 2 件掲載されている。
- ssh(1), sshd(8), ssh-add(1), ssh-keygen(1): an exploitable integer overflow bug was found in the private key parsing code for the XMSS key type. This key type is still experimental and support for it is not compiled by default. No user-facing autoconf option exists in portable OpenSSH to enable it. This bug was found by Adam Zabrocki and reported via SecuriTeam's SSD program.
- ssh(1), sshd(8), ssh-agent(1): add protection for private keys at rest in RAM against speculation and memory side-channel attacks like Spectre, Meltdown and Rambleed. This release encrypts private keys when they are not in use with a symmetric key that is derived from a relatively large "prekey" consisting of random data (currently 16KB).
XMSS (eXtended Merkle Signature Scheme) 鍵形式は OpenSSH 7.7 から実験的にサポートされたもの。デフォルトではコンパイルされないし、ふつうの人には関係なさそう。
Endpoint Protection クライアントと Mac との互換性 (シマンテック)。対応状況不明。
ウイルスバスター for Mac のmacOS への対応について (トレンドマイクロ)。対応状況不明。
macOS Catalina と McAfee 製品の互換性 (マカフィー)、 macOS compatibility with McAfee products (McAfee)。 Endpoint Security for Mac 10.6.5 で対応など。
Mac OS 10.15 Catalina Support and Known Issues (Sophos, 10/2)。「Required version - Sophos Endpoint 9.9.4 or above」
macOS Catalina 10.15 への対応について (キヤノンITSソリューションズ, 10/8)。「新バージョンプログラムでの対応を予定しております」
》 オランダ警察、防弾ホスティングプロバイダー KV Solutions B.V. のサーバー5台を押収、2名を逮捕 (10/1)。 botnet の C&C だったそうで。 戸井さん情報ありがとうございます。
Servers botnet offline (politie.nl, 10/2)
Dutch police take down hornets' nest of DDoS botnets (ZDNet, 10/2)
Huygens if true: Dutch police break up bulletproof hosting outfit and kill Mirai botnet (The Register, 10/3)
KV Solutions B.V. Takedown (AbuseIPDB)
日本の#KuToo ― ハイヒール着用の圧力に対する闘い (BBC, 8/1)
#KuTooへの冷やかしから考える 女性を縛り付ける"呪いの言葉"を打ち砕く方法 (上西充子 / プレジデント WOMAN, 8/23)
「#KuToo」改めてどう考える? 強制の実態も暴露 (宮地ゆう / 朝日, 8/25)
ツイート:
職場でのパンプス・ヒール着用義務付けの反対運動を先導してきた石川優実さん@ishikawa_yumi による『#KuToo――靴から考える本気のフェミニズム』。 出来たばかりのカバーをご紹介!石川さんの背後にいる男性の足元にご注目ください。写真はインベカヲリ★@kaworikawori さん。11月上旬発売予定です。 pic.twitter.com/LaaNzIbO8H
— 現代書館 (@gendaishokan) October 1, 2019
この写真に見事に釣られた人が多数いらっしゃるようで。
》 「違法ダウンロード対象拡大」法案、文化庁が意見公募 ネット上では「誘導的な質問ではないか」など疑問の声も (ITmedia, 10/4)
》 民事尋問戦略(広告) (壇弁護士の事務室, 10/4)、 若手法律家のための民事尋問戦略 (学陽書房, 10/10 発売予定)。
》 自分のパスワードが漏れていないか? Googleのチェック機能が拡張 (PC Watch, 10/4)
》 カスペルスキー、産業分野向けに独自OSを開発、システムの“免疫力“を高める「サイバーイミュニティ」へ (Internet Watch, 10/4)。このあたり:
サイバーイミュニティはどのように適用されるのか (Kaspersky, 10/4)
Internet of Things & Embedded Security (Kaspersky)
Global Transparency Initiative の件の続報も。
そこで、Kasperskyは同社が使用するツールやソースコードを第三者組織が監査・検証するための施設「Transparency Centers」をスイスとスペインに開設。国際認証SOC2の監査を完了したほか、情報セキュリティマネジメントシステム(ISMS)の国際標準であるISO27001取得に向けた取り組みも行っている。2019年12月にはアジア太平洋地域初となるTransparency Centerをマレーシアに開設する予定だ。
関連:
Kaspersky Lab、コアインフラをロシアからスイスへ移管するとともに、最初の「Transparency Center」もスイスに開設 (Kaspersky, 2018.05.16)
Kaspersky Lab、欧州で2か所目となる「Transparency Center」をマドリードに開設、また、ロシアのデータ処理関連法に関するアセスメントも実施 (Kaspersky, 4/4)
Kaspersky、内部統制を評価する保証基準SOC2 Type1監査報告書を受領 (Kaspersky, 7/24)
Kaspersky、アジアパシフィック地域初の「Transparency Center」をマレーシアに開設 ~ 3か所目となる同センターをマレーシア・サイバージャヤに設置 ~ (Kaspersky, 8/21)。「データ保管用および処理用インフラストラクチャ:ロシアからチューリッヒへの欧州ユーザーのデータ移転は、2019年末までに完了する予定です」。あら、ヨーロッパ圏のみ? world wide ではないの?
》 JPドメイン名の不正登録に関する情報受付窓口の開設 (JPRS, 10/2)
》 イラクで大規模反政府デモ、30人以上死亡 外出禁止令やネットアクセス制限も (ニューズウィーク日本版 / Yahoo, 10/4)
》 追跡! ネット通販 やらせレビュー (NHK クローズアップ現代+, 10/2)。悪貨は良貨を本当に駆逐する。
》 グーグルの量子コンピューターによる「量子超越性の実証」が、本当に意味すること (WIRED, 10/3)
Cisco Security Advisories に 2019.10.02 付でいっぱい出てきてる件のことかな。
libpcap 1.9.1 と tcpdump 4.9.3 が出たそうです。
unbound 1.7.1〜1.9.3 に欠陥。NOTIFY クエリの処理に欠陥があり、 攻略 NOTIFY クエリによって unbound デーモンが crash する。
unbound 1.9.4 で対応されている。
「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)
WSUS で以下が流れてきました。
Internet Explorer の累積セキュリティ更新プログラム: 2019 年 10 月 3 日 (Microsoft KB4524135)。CVE-2019-1367 に対応。
October 3, 2019—KB4524147 (OS Build 18362.388) (Microsoft KB4524147)。Windows 10 version 1903 / Server version 1903。
October 3, 2019—KB4524148 (OS Build 17763.775) (Microsoft KB4524148)。Windows 10 version 1809 / Server version 1809 / Server 2019。
October 3, 2019—KB4524149 (OS Build 17134.1040) (Microsoft KB4524149)。Windows 10 version 1803。
October 3, 2019—KB4524150 (OS Build 16299.1421) (Microsoft KB4524150)。Windows 10 version 1709。
October 3, 2019—KB4524151 (OS Build 15063.2079) (Microsoft KB4524151)。Windows 10 version 1703。
October 3, 2019—KB4524152 (OS Build 14393.3243) (Microsoft KB4524152)。Windows 10 version 1607 / Server 2016。
CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability (Microsoft, 2019.10.03 改訂) を見ると、
Version 2.0, 10/03/2019: To address a known printing issue customers might experience after installing the Security Updates or IE Cumulative updates that were released on September 23, 2019 for CVE-2019-1367, Microsoft is releasing new Security Updates, IE Cumulative Updates, and Monthly Rollup updates for all applicable installations of Internet Explorer 9, 10, or 11 on Microsoft Windows. Please see the Security Updates table for CVE-2019-1367 for the new updates. Note that these updates are available automatically via Windows Update, WSUS, or manually from the Microsoft Update Catalog. This release is separate from the October Update Tuesday release, which is scheduled for October 8, 2019.
最初のバージョンでは印刷関連で不具合が発生していたのを修正したと。 来週 (日本では 10/9) には月例更新が出るけど、それはそれで適用してね。
》 ボーイング 737 MAX墜落事故の原因は安全性向上より納期・コストを重視する社風にあるという内部告発 (gigazine, 10/3)
》 イラクがTwitterやFacebookを遮断、その直後イラク全土のネットワークの約75%がダウン (gigazine, 10/3)。「一連の通信遮断は、2019年10月1日からイラクで行われている抗議デモを妨害するための策だとみられています」
》 ニュース:Windows 7 ESU が VL だけでなく CSP からも購入可能に (山市良のえぬなんとかわーるど, 10/3)
》 Mariposa Botnet Author, Darkcode Crime Forum Admin Arrested in Germany (Krebs on Security, 10/1)
》 日経xTECH EXPO 2019での情報セキュリティに関するセミナーのご案内 (IPA, 10/3更新)。
》 Trend Micro Deep Security 11.0 Update 15 および Windows版 Trend Micro Deep Security Agent 11.0 Update 16 公開のお知らせ (トレンドマイクロ, 10/2)
》 [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を! (Microsoft Security Response Center, 10/2)
》 Chrome UI for Deprecating Legacy TLS Version (Google, 10/1)
》 増税に伴うシステムトラブルをまとめてみた (piyolog, 10/2)
》 ClamAV 0.102.0 has been released (ClamAV, 10/2)
PDFファイルを開くだけで暗号化された内容が流出する脆弱性「PDFex」が発見される (gigazine, 2019.10.02)
Practical Decryption exFiltration: Breaking PDF Encryption (pdf-insecurity.org)
How to break PDF Encryption (September 2019) (pdf-insecurity.org)
Technical details of the attacks (pdf-insecurity.org)
Desktop Viewer Applications (pdf-insecurity.org)。ほとんど駄目。仕様が駄目なので仕方ない。
PythonのDocXMLRPCServer.pyの脆弱性情報(CVE-2019-16935) (SIOS, 2019.09.29)
A reflected XSS in python/Lib/DocXMLRPCServer.py (Python.org)
JVNVU#94678942 - FON がオープンリゾルバとして機能してしまう問題 (JVN, 2019.10.01)
オープンリゾルバ問題の影響について (FON)。「FON2601Eのファームウェアバージョン1.1.7以下」は open resolver になってしまう。ファームウェアアップデートで対応。
Exim CVE-2019-16928 RCE using a heap-based buffer overflow (2019.09.30)
「Exim 4.92.3」リリース、脆弱性を修正 (OSDN, 2019.10.01)
》 海自護衛艦「いずも」わずか31億円で「空母化」のワケ F-35B戦闘機の発着艦が可能に (乗りものニュース, 9/19)。逆に言うと、とりあえず発着艦できるだけだと。
ボーイング737MAX、旧システムの安全装置が組み込まれず=関係筋 (Wall Street Journal, 9/30)。 MCAS は、パイロット操作を阻害しないような形で KC-46A 空中給油・輸送機に組み込み済だった話。KC-46A は空自も採用している機体です。
関連: USAF Reviewing Training After MAX 8 Crashes; KC-46 Uses Similar MCAS (AIR FORCE Magazine, 3/22)
中国軍事パレード全部見る【ノーカット】 (テレビ東京 / YouTube, 10/1)
中国が最新兵器を公開、軍事パレードで戦闘能力誇示 中国が披露した最新兵器の一部を紹介 (Wall Street Journal, 10/2)
[FT]中国、軍事パレードで新兵器公開 米国に対抗 米中衝突 中国・台湾 FT (日経, 10/2)
中国建国70年 軍事パレード分析 安田淳・慶応大教授/小原凡司・笹川平和財団上席研究員 (毎日, 10/2)
》 Googleがスマホ向けに「交通事故発生時に自動で緊急通報する機能」を開発中 (gigazine, 10/2)
》 性的画像目的でYahooのエンジニアが約6000人のアカウントに侵入していたことが判明 (gigazine, 10/2)
》 インターネットをより安全にする技術「DoH」に対して大手ISPが抱える懸念とは? (gigazine, 10/2)
》 著名なフリーソフト活動家が一通のメールで役職辞任に追い込まれたことに「危険な動きだ」と批判が寄せられる (gigazine, 10/1)。ストールマン氏の件。
》 Twitterの幹部が「イギリス陸軍の情報作戦部隊」に所属していることが判明 (gigazine, 10/1)
》 6600万年前、恐竜を絶滅させた小惑星の衝突直後に起きたことがわかった (Business Insider Japan, 10/1)
おしゃれワークスペース・WeWork暴露記事で孫さんピンチ。アダムCEOを更迭か (gizmodo, 9/24)
WeWorkのニューマンCEOが辞任! 専門家が指摘する、後任CEOにのしかかる問題とは (Business Insider Japan, 9/25)
コラム:ソフトバンク、ウィーワーク追加出資で損失泥沼化も (ロイター, 9/26)コラム:ソフトバンク、ウィーワーク追加出資で損失泥沼化も
WeWorkアダムCEO解任。米国の反応… (gizmodo, 9/27)
WeWorkのクラッシュはベンチャーキャピタリズムが機能している証拠だ (techcrunch, 9/30)
資金調達に失敗して大炎上の末CEOが辞任したWeWorkが正式に上場申請を撤回 (gigazine, 10/1)
WeWorkが上場申請を撤回 (techcrunch, 10/1)
全社員参加のキャンプでセックス、麻薬三昧…WeWork社内の実態明かす「衝撃の新証言」【前編】 (Business Insider Japan, 10/1)
ソフトバンクの「1兆円」投資、回収に必要なWeWorkの企業価値 (Forbes, 10/2)
WeWork Japan、最高経営責任者の就任に関するお知らせ (PR TIMES, 10/2)
WeWork日本法人CEOも辞任 ── ニューマン元CEOの義理の兄弟、本国COOなど歴任 (Business Insider Japan, 10/2)
》 シカのハンターが「動物由来の結核菌」に感染してしまったと報告される (gigazine, 10/1)。シカのドド君と毎週ラジオを放送している「日曜サンデー」スタッフは大丈夫なのだろうか (大丈夫です)。
》 TikTokはどうやって投稿される無数のコンテンツを検閲してきたのか? (gigazine, 9/26)、 TikTok、反中動画を検閲か。「5月にポリシー変更済み」の説明も (engadget, 9/26)
》 『冤罪File』2019年冬号 発売のお知らせ (冤罪事件専門誌「冤罪File」編集局公式ブログ, 10/2)。 次は 11/27 だそうです。予約した。
》 量子超越性は、不確実ながら達成された (Kaspersky, 9/30)
》 初代JPCERT/CC代表理事を務めた山口 英が「インターネットの殿堂」入り (JPCERT/CC, 9/30)。おめでとうございます。
》 10月2日「クローズアップ現代+」で「やらせレビュー」問題を特集 「レビューのブローカー」への直撃取材も (ねとらぼ, 10/1)。明日のクロ現+。
郵便局が保険を“押し売り”!? ~郵便局員たちの告白~ (NHK クローズアップ現代+, 2018.04.24)
検証1年 郵便局・保険の不適切販売 (NHK クローズアップ現代+, 7/31)
かんぽ生命 営業再開は先延ばしへ 批判が影響か (NHK, 9/25)
かんぽ報道でNHK会長を注意 経営委、郵政の苦情受け (朝日, 9/26)
かんぽ報道で郵政「お汲み取り頂いた」 NHK側へ文書 (朝日, 9/26)
NHKに関する今回の報道について(経営委員長コメント) (NHK 経営委員会, 9/26)。内容がショボすぎる。
NHKの自律揺るがす 経営委「統治」口実に かんぽ報道、異例の注意 (毎日, 9/26)。経過一覧あり。
NHK報道巡り異例「注意」 経営委、郵政抗議受け かんぽ不正、続編延期 (毎日, 9/26)
郵政、NHK報道を「悪意」と総括 不適切営業中も抗議 (朝日, 9/27)
かんぽ生命の不適切契約 4000件以上か (NHK, 9/27)
NHKは日本郵政の「圧力」になぜ屈したか、ウラに隠された事情 (竹中 明洋 / 現代ビジネス, 9/29)
NHK会長注意 経営委の法定議事録になし 委員「非公表実施」認める (毎日, 9/30)。「放送法は委員長に議事録の作成と公表を義務づけているが、厳重注意は議事録を公開しなくて済む非公表の場で行われていた」。姑息としか言いようがない。
タイトル:「かんぽ生命保険契約問題 特別調査委員会」からの報告について (日本郵政, 9/30)
日本郵政グループにおけるご契約調査の中間報告及び今後の取組について (日本郵政, 9/30)
NHK抗議、郵政社長陳謝 かんぽ番組「全くその通り」 (毎日, 10/1)
長門社長は (中略) 抗議や申し入れは誰が判断したのかとの質問に対しては「みんなで議論して、グループとして決めている」と言葉を濁した。放送行政を所管する総務省の元事務次官で日本郵政上級副社長の鈴木康雄氏が昨年11月、自身の経歴を強調しつつ、上田会長を厳重注意した経営委に謝意を伝える文書を送っていた点については「事務次官を辞めたのは9年前」とし、NHK側に圧力を与える意図はなかったとの見方を示した。
会見後、取材に応じた広報担当の木下範子執行役はNHK側への抗議について「当時の状況下で行ったこと」と述べ、謝罪したり、抗議や申し入れを撤回したりする考えがないと明言した。
あいかわらずの糞っぷりではないか。
N国・立花孝志党首「あほみたいに子どもを産む民族は虐殺」「差別やいじめは神様が作った摂理」などと言及 (ハフポスト, 9/28)
「有権者全体の責任も」「ネタで差別あおるな」…N国・立花氏「虐殺」発言で波紋 (毎日, 9/29)
N国 立花党首の「虐殺」発言 共産 志位委員長が批判 (NHK, 9/30)
立花孝志をまさかの方法で追い詰める最強のN国党アンチが登場した件 (togetter, 10/1)
》 “賽銭感覚”で客が池に投げ入れ…動物園で死亡したワニの胃から『硬貨330枚以上』 見つかる (東海テレビ / Yahoo, 9/30)
》 「やってはイケナイ」をやってみよう 第3弾_in 大阪 (connpass)。2019.10.29、大阪府大阪市、無料。面さん情報ありがとうございます。
》 「自動車安全運転シンポジウム2019」開催のお知らせ (警察庁)。2019.11.14、東京都千代田区、無料。自動運転ねた。
》 リチャード・ストールマン「FSFは辞めてもGNUは辞めない」 (Linux Daily Topics, 9/27)
》 [gnutls-help] gnutls 3.6.10 (GnuTLS, 9/29)。bug fix リリース。iida さん情報ありがとうございます。
》 LibreSSL 3.0.1 リリースノート (LibreSSL, 9/30)。開発版です。iida さん情報ありがとうございます。
》 「気候変動を踏まえた海岸保全のあり方検討委員会」(第1回)の開催について (農林水産省, 9/30)。10/2 13:00 から。
金浦→坡州→江華、防疫に穴をあけたアフリカ豚コレラ (朝鮮日報, 9/25)
韓国、アフリカ豚コレラ殺処分6万頭 北朝鮮境界線近くで拡大 (西日本新聞, 9/28)
アフリカ豚コレラ(ASF)侵入阻止 鳥取・米子空港検疫出張所新設 (日本農業新聞, 9/29)
非武装地帯「平和の道」開放中止 アフリカ豚コレラ対策=韓国 (朝鮮日報, 9/30)
「農林水産省豚コレラ防疫対策本部」の開催結果について (農林水産省, 9/27)
本日、防疫指針の改定案が取りまとめられました。これを受け、本日13時45分から「農林水産省豚コレラ防疫対策本部」において、牛豚等疾病小委員会が取りまとめた改定案が報告され、今後の対応が確認されました。
豚コレラに関する特定家畜伝染病防疫指針の一部変更の概要について (農林水産省, 9/27)
豚コレラに関する特定家畜伝染病防疫指針(案) (農林水産省, 9/27)
パブリックコメント:意見募集中案件詳細 豚コレラに関する特定家畜伝染病防疫指針の一部変更案等についての意見・情報の募集について (e-gov, 9/27)。締切 10/7。
豚ワクチン 接種来月下旬にも 防疫指針改定案 9県想定し準備 (日本農業新聞, 9/28)
「農林水産省豚コレラ防疫対策本部」の開催について (農林水産省, 10/1)。10/1 15:30 から。
農林水産省は、予防的ワクチンの接種が可能となるよう牛豚等疾病小委員会が取りまとめた特定家畜伝染病防疫指針の改定案について、9月27日(金曜日)に家畜伝染病予防法に基づく都道府県知事への意見照会及び行政手続法に基づくパブリックコメントを開始したこと等を受け、本日(10月1日(火曜日))15時30分から「農林水産省豚コレラ防疫対策本部」を開催し、豚コレラ等の発生予防・まん延防止に向けた更なる対策を検討します。
「食料・農業・農村政策審議会 第37回 家畜衛生部会」の開催及び一般傍聴について (農林水産省, 9/30)。10/3 10:00 から。
豚コレラでイノシシ用ワクチン散布 滋賀県が近畿初 (産経, 10/1)
》 「7pay」運営元、未使用残高の払い戻し方法発表 9月末でのサービス終了受け (ITmedia, 9/27)、 7payサービス廃止のお詫びと残高払戻しに関するご案内 (セブン・ペイ, 9/27)
》 総務省、「ローカル5G」を制度化 免許申請受付へ (ITmedia, 9/30)
》 年間6200万ドル規模「バグ報告への報酬金」 IoT・ICS領域にも拡大? (高橋睦美 / ITmedia, 9/30)
ロシア・ソチで9月19〜20日にわたって開催された「Kaspersky Industrial Cybersecurity Conference」の中で、KasperskyのICS-CERTのリサーチャー、ウラジーミル・ダーシェンコ氏が「Industrial Bug Bounty: Fantasy or Reality?」というテーマでセッションを行いました。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)