![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Aug 14 16:42:21 2020
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 Adobe Flash Player 32.0.0.414公開 (ニッチなPCゲーマーの環境構築Z, 8/11)
Adobe 方面。
Security Updates Available for Adobe Acrobat and Reader | APSB20-48 (Adobe, 2020.08.11)。Priority: 2
26 件のセキュリティ修正。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2020.012.20041 |
| Acrobat 2020 / Acrobat Reader 2020 (Classic 2020) | 2020.001.30005 |
| Acrobat 2017 / Acrobat Reader 2017 (Classic 2017) | 2017.011.30175 |
| Acrobat 2015 / Acrobat Reader 2015 (Classic 2015) | 2015.006.30527 |
Acrobat 2015 / Acrobat Reader 2015 のサポートは 2020.07.07 で終了しているそうで、今回のセキュリティ修正で打ち止めの模様。 Acrobat 2017 / Acrobat Reader 2017 の EOL は 2020.06.06 だそうです。
Security Updates Available for Adobe Lightroom | APSB20-51 (Adobe, 2020.08.11)。Priority: 3
Windows 版 Lightroom Classic 9.2.0.10 以前に、権限上昇を招く 1 件のセキュリティ欠陥。 Lightroom Classic 9.3 で修正されている。
Apache HTTP Server 2.4.46 公開。3 件のセキュリティ修正を含む。
Apache HTTP Server 2.4.46 Released (apache.org, 2020.08.07)
Changes with Apache 2.4.46 (apache.org, 2020.08.07)
- SECURITY: CVE-2020-11984 (cve.mitre.org)
mod_proxy_uwsgi: Malicious request may result in information disclosure or RCE of existing file on the server running under a malicious process environment. [Yann Ylavic]- SECURITY: CVE-2020-11993 (cve.mitre.org)
mod_http2: when throttling connection requests, log statements where possibly made that result in concurrent, unsafe use of a memory pool. [Stefan Eissing]- SECURITY:
mod_http2: a specially crafted value for the 'Cache-Digest' header request would result in a crash when the server actually tries to HTTP/2 PUSH a resource afterwards. [Stefen Eissing, Eric Covener, Christophe Jaillet]
Apache HTTP Server 2.4 vulnerabilities (apache.org)。「Fixed in Apache httpd 2.4.44」と書かれている内容は、 実際には 2.4.46 で修正されたものの模様。上記の CVE 記載なしの mod_http2 の欠陥は CVE-2020-9490 のようだ。
Apache Struts 2.x に 2 件 (RCE、DoS) のセキュリティ欠陥。
S2-059 - Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution (apache.org, 2020.08.13)。RCE。
The problem only applies when forcing OGNL evaluation inside a Struts tag attribute, when the expression to evaluate references raw, unvalidated input that an attacker is able to directly modify by crafting a corresponding request.
Example:
<s:url var="url" namespace="/employee" action="list"/><s:a id="%{skillName}" href="%{url}">List available Employees</s:a>
If an attacker is able to modify the skillName attribute in a request such that a raw OGNL expression gets passed to the skillName property without further validation, the provided OGNL expression contained in the skillName attribute gets evaluated when the tag is rendered as a result of the request.
S2-060 - Access permission override causing a Denial of Service when performing a file upload (apache.org, 2020.08.13)。DoS。
Apache Struts 2.5.22 で修正されている。
関連:
Struts 2の脆弱性情報(Important: CVE-2019-0230, Moderate: CVE-2019-0233) (SIOS, 2020.08.13)
》 Windows Updateの「詳細オプション」に「プライバシーの設定」が配置されている理由 (@IT, 8/4)。オプションに歴史あり。
》 UDP Amplificationを使用したDDoS攻撃が増加 IIJが2020年6月のセキュリティレポートを発表 (@IT, 8/6)、 wizSafe Security Signal 2020年6月 観測レポート (IIJ, 7/30)
》 香港に本拠を置く7つの無料VPNサービスから2000万人分以上のユーザーデータが流出――vpnMentorが発見 (@IT, 7/30)
》 Huawei、5Gスマホ用プロセッサの調達先を多様化へ - 台湾メディア報道 (マイナビニュース, 8/5)
》 超新星1987Aの残骸の中心付近に観測史上最も若い中性子星が存在する可能性 (マイナビニュース, 8/5)。おぉ〜
》 「アイマス」フィギュアなど企画開発、アクアマリン破産 コロナ禍の工場停止、イベント中止で限界 (ITmedia, 8/6)
》 Facebook、「TikTok」競合の「Instagram Reels」を日本を含む世界で公開 (ITmedia, 8/6)
》 中国からの「謎の種」、播いたら生えてきたのは......? (ニューズウィーク日本版, 8/5)
米農務省は、注文した覚えのない種が入った荷物を受け取った人に対し、種を植えずに、州あるいは連邦の農務事務所に送付するよう呼びかけている。
一方で、中国はアメリカに対し、捜査のために謎の種を送り返すよう求めている。中国外務省の汪文斌報道官は、記者会見でこう述べた。「植物の種は、万国郵便連合(UPU)加盟国の間で輸入や輸送が厳しく制限されている物品であり、条件付きでしか認められていない」
》 米国の3政府機関、マルウェア「Taidoor」新版に関する警告を共同発表 (ZDNet, 8/5)。Chinese Malicious Cyber Activity (US-CERT, 8/3) の件。
》 米FTC、Twitterを個人情報の不正利用で調査--広告ターゲティングに流用の可能性 (ZDNet, 8/5)
Twitterは3日付の規制当局への提出書類の中で、この問題が1億5000万〜2億5000万ドル(約160億〜約260億円)の損失につながる可能性があると述べた。
》 マイクロソフトのTikTok買収計画から見える4つのこと (ZDNet, 8/5)
2. MicrosoftはTikTok買収の話題で衆目を集め、ソフトバンクからArmを買収しない理由を尋ねられるのを避けている。
おぉぅ。
》 大阪府知事発、イソジンパニック。 またしても維新クオリティですか。
吉村知事「うそみたいな本当の話」 うがい薬の使用呼びかけ、主な一問一答 (毎日, 8/4)
今日発表するのは、既存の薬剤による重症化抑制効果で、軽症の方にポビドンヨード、代表的にはイソジンのようなものがありますが、そういったうがい薬を使うことで重症化抑制にかかる観察研究をやってきた。府内の宿泊療養施設に入る軽症者41人を対象に実施し、大阪府市が研究に協力した。1日4回、ポビドンヨードによるうがいを実施した結果、ウイルスの頻度が低下することが判明した。唾液のPCR(検査)をした時に圧倒的に陽性が減る。
そりゃそうだろう。ポビドンヨードは「殺菌消毒剤」だからね。口腔内を殺菌したので唾液の PCR にひっかかりにくくなった、 というだけの話であろ。 少なくとも、唾液じゃないところの PCR もあわせて比較すべき。
ポビドンヨード(PVP-I)を有効成分とするBETADINE製品(イソジン)の新型コロナウイルスに対する抗ウイルス効果を確認 (ムンディファーマ / PR TIMES, 7/20)。今回の件とは異なる話だが、製造元が何を言っているかはわかる。
感染症の予防対策としては、うがい・手洗い・マスクの着用・衛生環境を保つなど、様々な手段を実践し、感染リスクを低減することが有効です。その中でも、殺菌・殺ウイルス効果のあるうがい薬を使用し、口腔内およびのどを殺菌・洗浄することは菌やウイルスの口からの侵入を防ぐために重要です。イソジンは、今後もさまざまな製品を提供し、日本の感染症対策に貢献いたします。
製造元の主張は「菌やウイルスの口からの侵入を防ぐために重要」。
『ポビドンヨードによるうがいは新型コロナを改善させる』は本当か?医師が解説 (堀向健太 / Yahoo, 8/4)
繰り返しになりますが、今回の報道は、唾液の中の新型コロナが減っても、その後の新型コロナによる悪化が防がれるという研究結果ではないのです。検査の陽性率が下がった、という結果です。
うがいによって、一時的に新型コロナが検出されにくくなっただけなのかもしれないのです。
イソジンなどのうがい薬、妊婦などの使用は“注意”が必要。使い過ぎると「ポビドンヨード」過剰摂取の恐れ。胎児に影響及ぼす可能性も (ハフポスト / MSN, 8/5)
「妊婦さんはうがい薬に含まれている『ポビドンヨード』と呼ばれるヨウ素の成分には気を付けてください。この成分が入ったうがい薬を連用すると、普段の食事で海藻類から摂取する量よりもはるかに多くのヨウ素を吸収し、ヨウ素過剰症を引き起こすことがあります。ヨウ素過剰症は、赤ちゃんの甲状腺機能の低下につながることもあります」
うがい薬がコロナに効果か研究 (NHK, 8/4)
担当する「大阪府立病院機構大阪はびきの医療センター」の松山晃文 次世代創薬創生センター長は、「唾液のウイルスを減らすことで、家庭での身近な人どうしの感染などを減らす効果があるのではないかと期待している。数十例や数百例でははっきりとは言えないので、大規模な研究で確かめたい」と話しました。
一方で、松山センター長は記者団に対し、「うがいをしたあと、1時間程度でウイルスの量が再び増えるケースもある。うがい薬を使って、何回もうがいをすると喉を痛める可能性もあるので、注意が必要だ」と述べました。
転売は違法です。
うがい薬がコロナ重症化を予防? 大阪府発表を受けメルカリ高額出品が相次ぐ 医薬品の出品は違法 (ITmedia, 8/4)
『イソジン』などポビドンヨード含有うがい薬、フリマアプリでの転売に注意。医薬品のため違法 (篠原修司 / Yahoo, 8/4)
ツイート:
イソジンの件は検査をごまかす方法を伝えただけだ、と公言するのって凄い。 https://t.co/UP7MrQLTto
— 藤井 太洋, Taiyo Fujii (@t_trace) August 5, 2020
コロナ対策の迷走を描いたら描いたで、海堂尊「コロナ黙示録」https://t.co/urKT53P6XW みたいに、今度は、忖度メディアが必死で黙殺したり、ネトウヨが叩いたりするということになる。 https://t.co/TzkhI3NtI4
— Nobuyo Yagi 八木啓代 (@nobuyoyagi) August 5, 2020
『イソジン吉村』嘘のような本当の話で吉村洋文府知事から感じる「進次郎臭」
— 文春オンライン (@bunshun_online) August 5, 2020
論文もまともにない状態で浮かれて記者会見をしちゃ駄目だと思うんですよ #山本一郎 #吉村府知事 #吉村知事 #イソジン #文春オンラインhttps://t.co/HgPQ8xc5iy
#うがい薬 で #うがい をすると、#新型コロナウイルス の感染予防になりますか。
— WHO Kobe Centre (@WHOKobe) August 5, 2020
いいえ。うがい薬の使用で新型コロナウイルスの感染を予防できるという科学的根拠はありません。#COVID19 #Mythbusters #新型肺炎 pic.twitter.com/9M0YJ0WsZb
「進次郎臭」のキラーワード感がすごい。
》 「接触確認アプリ」のダウンロード数が約1,099万件に到達 ~濃厚接触通知システムはAndroid 11でOS標準搭載を予定 (PC Watch, 8/4)。ようやく 1000 万越えですか。 Go to キャンペーンの予算でも、出かける前にインストールをと宣伝すべきだよなあ。
Twitter 著名人アカウント大規模ハッキング方面 (2020.07.20)
関連:
FBIはいかにしてTwitterハッキングの容疑者を突き止めたのか (CNET, 2020.08.05)
》 「接触確認アプリ」の導入問題から見える課題(曽我部真裕) (法律時評 / Web日本評論, 7/27)
》 EU、初のサイバー攻撃に対する制裁を決定 (IT Research Art, 8/1)
》 Microsoft Joins Open Source Security Foundation (Microsoft Security Response Center, 8/3)
》 Microsoft Defender Smartscreenの解除を待ち望む日々。 (SIOS, 7/27)
》 Google SafeBrowsingの誤警告に対応する日。 (SIOS, 7/14)
》 Chinese Malicious Cyber Activity (US-CERT, 8/3)
》 Freshclam, cdiffs and bandwidth are your friends (ClamAV blog, 7/27)
》 Writing a ClamAV signature for Masslogger (ClamAV blog, 7/23)
》 映画館で換気実験「スモークが20分でほぼ消える」 コロナ禍でのマイナスイメージ払拭のため (ねとらぼ, 8/4)。関連:
現在、映画館を作っている立場から映画館の換気について説明します (浅井隆 / note, 3/1)
映画館を作ることは、実はこの機械式換気、加湿設備を設置することにかなりの予算が割かれます (中略) 換気・加湿の設備のコストは、ざくっと言うと映画館の総予算の3分の1かかります。換気と遮音は相反するので換気ダクトにつける消音チェンバーなどコストがかかります。残りの3分の1は壁と天井とその防音遮音、最後の3分の1はプロジェクター、スピーカー、サーバーなどの映写機器。映画館は換気という衛生面でコストをかけているということを理解してください。
興行場法のもと、換気の数値が定められ、保健所の指導で加湿をされた映画館の空間は、少なくとも満員電車よりは感染リスクは低いのではないでしょうか。
》 バカッターから迷惑系YouTuberへ。ネットに生息する「バカ」はどのように進化したのか (中川淳一郎 / finders.me, 7/29)。関連:
報道
へずまりゅう、2度目逮捕でYouTube再開は絶望的か…擁護するゆたぼんにも厳しい目 (Business Journal, 7/14)
何度でも復活する“迷惑系YouTuber”元IT起業家が首をかしげる違反動画取り締まりの本気度 (ABEMA TIMES / Yahoo, 7/16)
迷惑系YouTuberのへずまりゅう容疑者の滞在先でコロナ感染拡大 捜査員、留置所収容者も 〈週刊朝日〉 (AERA dot. / Yahoo, 7/18)
窃盗容疑で逮捕の「へずまりゅう」と接触、警官と留置中の男が感染 (読売, 7/18)
「へずまりゅう」と接触の女性も感染…偶然同じ店に居合わせ、話しかけられる (読売, 7/18)
「へずまりゅう」と偶然近いテーブル、学生も感染…関連の相談600件 (読売, 7/19)
ユーチューバー「へずまりゅう」関連の感染7人 愛知県 (朝日, 7/20)
「へずまりゅう」の立ち寄り先、営業自粛や検査続々「苦渋の決断」 (読売, 7/22)
「迷惑系YouTuber」逮捕されても反省しない理由 山口県知事も激怒「へずまりゅう」とは何者か (高橋暁子 / 東洋経済, 7/18)
迷惑系YouTuber「へずまりゅう」を熱狂的に支持する若者たちの心理 (高橋暁子 / CNET, 7/25)
感染者公表「極めて異例」へずまりゅうで山口知事 (日刊スポーツ, 7/31)
山口県
「へずまりゅう」氏に関連する疫学調査の状況について (7月17日17時現在) (山口県, 7/17)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月19日15時現在) (山口県, 7/19)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月20日15時現在) (山口県, 7/20)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月21日15時現在) (山口県, 7/21)
ユーチューバー「へずまりゅう」に関連する疫学調査の状況について (7月22日15時現在) (山口県, 7/22)
知事記者会見録 (令和2年7月17日実施分) (山口県, 7/17)
知事記者会見録 (令和2年7月23日実施分) (山口県, 7/23)
知事記者会見録 (令和2年7月31日実施分) (山口県, 7/31)
》 Windows10 アップデートによる、モリサワ製品インストールの障害発生について (モリサワ, 8/3)。使用している Thales の Sentinel HASP ドライバーが未対応だそうで。最新のドライバーソフトウェア (8.11) を事前にインストールすることで回避できる。 関連:
Windows10 バージョン2004で発生する問題の回避方法について (サトー, 6/26)
Software Monetization Drivers and Downloads (Thales Group)
Sentinel LDK and Sentinel HASP Run-time Environment Command-line Installer for Windows: Readme Version 8.11 (Thales Group / gemalto.com)。「"Denial of Service" vulnerabilities were resolved」なんて記述もあるなあ。
2020年7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起 (2020.07.15)
JVN#62161191 - JavaFX の WebEngine コンポーネントに任意の Java メソッド実行が可能になる脆弱性 (JVN, 2020.07.28)
OracleJDK 8 update 251 に同梱されている JavaFX および OpenJFX プロジェクトが提供する JavaFX 14.0.1 では、JavaScript から呼び出せる Java メソッドに制限を加えています。詳細はリリースノートを確認してください。
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-10713, etc.)) (SIOS, 2020.07.30)
ほぼすべてのLinuxのブートローダーに脆弱性 (PC Watch, 2020.07.30)
BootHole対策パッチによってRed HatやUbuntuが起動不能に。さらなるパッチが公開 (PC Watch, 2020.08.03)
System hangs after POST and the grub menu never loads after applying the RHSA-2020:3216 or RHSA-2020:3217 (Red Hat, 2020.08.04 更新)。RHEL 7.8 / 8.2 で不具合発生を確認、8.1 EUS / 7.9 では確認していないが潜在的には問題あり。修正版を公開済。
Red Hat has fixed the bug in the shim packages. Updated shim packages are now available and can be used in conjunction with previously released grub2, fwupd, and fwupdate packages.
問題となった RHSA-2020:3216 と RHSA-2020:3217 では grub2, shim, shim-signed, fwupdate パッケージが更新されたが、このうち shim パッケージに不具合があったと。
JVN#40400577 - トヨタ⾃動⾞製 Global TechStream (GTS) におけるバッファオーバーフローの脆弱性 (JVN, 2020.07.29)
Toyota GTS Home page (toyotagts.service-solutions.com)
Global TechStream(GTS)とは、トヨタ自動車が提供する次世代の故障診断ツールです。
ハンドヘルド型故障診断ツールである従来のIT2とは異なり、GTSは、PC版の故障診断ツールとなります。Windows上で動作する故障診断の核となるGTSソフトウェアと車両間の通信を実現するVehicleInterfaceModule(VIM)で構成されます。
》 アップル、中国App Storeから3万以上のアプリを削除。主に有料ゲームが対象 (engadget, 8/3)
》 「Microsoft Defender」が「CCleaner」を“望ましくない可能性のあるアプリ(PUA)”として検出 (窓の杜, 7/31) することがあるらしい。
PUAからPCを保護する機能は「Windows 10 May 2020 Update(バージョン 2004)」から搭載されているが、既定では無効化されている。 (中略) 「Chromium」ベースの「Microsoft Edge」にも“Microsoft Defender SmartScreen”ベースにPUAブロック機能が搭載されており、プライバシー設定画面(edge://settings/privacy)の[望ましくない可能性のあるアプリをブロックする]オプションをONにすることで保護を受けることができる。
》 「Microsoft Edge」に一時不具合 〜アドレスバーへの入力でアプリがクラッシュ (窓の杜, 7/31)。「問題の原因はGoogle側の仕様変更にあったようで、現在はGoogleとの調整により解決している」。
【更新】米国TikTok事業の売却でByteDanceとマイクロソフトが合意、米政府の裁定を待つ (techcrunch, 8/1)
マイクロソフトとバイトダンス、TikTok買収交渉を保留-DJ (ブルームバーグ, 8/2)
マイクロソフト、TikTok米事業買収交渉継続-大統領と協議 (ブルームバーグ, 8/3)
Microsoft to continue discussions on potential TikTok purchase in the United States (Microsoft, 8/2)
Microsoft、TikTok買収を検討中と正式発表 「トランプ大統領とも会談済み」 (ITmedia, 8/3)
SKYSEA Client View 12.200.12n〜15.210.05f に権限上昇可能な欠陥、 local user がシステム権限で任意のコードを実行できる。
修正モジュールが配布されている。
Twitter 著名人アカウント大規模ハッキング方面 (2020.07.20)
容疑者が逮捕されたそうです。
Twitterアカウント大規模乗っ取り犯逮捕 主犯は米在住の17歳 (ITmedia, 2020.08.01)。現時点では容疑者のはずなので、「乗っ取り犯」は言いすぎだと思います。
ツイッターのハッキング事件、17歳の男を逮捕-米司法省は3人訴追 (ブルームバーグ, 2020.08.01)
Twitter大規模ハック、17歳はなぜたった2週間で逮捕されたのか? (平和博 / Yahoo, 2020.08.03)
Three Individuals Charged For Alleged Roles In Twitter Hack (justice.gov, 2020.07.31)
Florida Teenager Is Charged as ‘Mastermind’ of Twitter Hack (NYTimes, 2020.07.31)
From Minecraft Tricks to Twitter Hack: A Florida Teen’s Troubled Online Path (NYTimes, 2020.08.02)
攻略画像を処理すると任意のコードが実行される、等のセキュリティ欠陥 20 件が修正されている。
過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)