セキュリティホール memo

Last modified: Wed Jun 13 18:56:32 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.06.13

2018 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.06.13)

 出ました。IE / Edge, Windows, Office, ChakraCore, Flash Player。

BIND 9.xの脆弱性(サービス提供者が意図しないアクセスの許可)について (CVE-2018-5738) - 設定の確認と適切な更新を強く推奨 -
(JPRS, 2018.06.13)

 BIND 9.9.12 / 9.10.7 / 9.11.3 / 9.12.0〜9.12.1-P2 における、 ACL のデフォルト設定に欠陥。 設定ファイル (named.conf) において

場合、再帰的問い合わせは localnets と localhost のみに限定される……はずが、 全ての IP アドレスに対して許可される = オープンリゾルバーになることが判明。

 BIND 9.9.13 / 9.10.8 / 9.11.4 / 9.12.2 で修正される予定。 ACL を設定することで回避できる。

OpenSSL Security Advisory [12 June 2018]
(OpenSSL, 2018.06.12)

 長大な DH パラメーターによってクライアント側が DoS 攻撃を受ける欠陥 CVE-2018-0732 を確認。 Severity: Low。OpenSSL 1.1.0i および OpenSSL 1.0.2p で修正される予定 (未リリース)。Git リポジトリ上では既に修正されている。

 iida さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
(Google, 2018.06.12)

 Chrome 67.0.3396.87 公開。1 件のセキュリティ修正を含む。


2018.06.12

Coinhive は不正指令電磁的記録なのか?
(various)

 Coinhive を設置するとケーサツが飛んでくるらしい。

2018.06.13 追記:

 モロ氏が寄付について言及されています。

 YUKI Keiichi さんのツイート:

 あと、毎日がケーサツの主張たれ流し記事を出してます。


2018.06.11

いろいろ (2018.06.11)
(various)

各種のアーカイブ操作用コードにディレクトリトラバーサル可能な欠陥

GnuPG

追記

ネットワーク機器を標的とするマルウェア「VPNFilter」について (2018.05.25)

 VPNFilter、対応ベンダーが増えたり第 3 段の機能がより攻撃的になったりした模様です。


2018.06.08

Security updates available for Flash Player | APSB18-19
(Adobe, 2018.06.08)

 Flash Player 29.0.0.171 以前に 0-day 欠陥 CVE-2018-5002、 Flash Player 30.0.0.113 で修正 (メジャーバージョンが上がってる!)。 Priority: 1 (Linux 版のみ 3)。

 Flash Player 30.0.0.113 では上記の他に 3 件のセキュリティ修正を行っている。 CVE-2018-4945 CVE-2018-5000 CVE-2018-5001


2018.06.07

Chrome Stable Channel Update for Desktop
(Google, 2018.06.06)

 Chrome 67.0.3396.79 公開。1 件のセキュリティ修正を含みます。 iida さん情報ありがとうございます。

追記

Firefox 60.0 / ESR 60.0 / ESR 52.8.0 公開 (2018.05.09)

 Firefox 60.0.2 / ESR 60.0.2 / ESR 52.8.1 公開されました。 セキュリティ修正 CVE-2018-6126: Heap buffer overflow rasterizing paths in SVG with Skia を含みます。 iida さん情報ありがとうございます。


2018.06.06


2018.06.05

追記

2018 年 5 月のセキュリティ更新プログラム (月例) (2018.05.11)

メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起 (2018.05.15)

 EFAIL の件、iOS 11.4, macOS High Sierra 10.13.5 で修正された模様。 (誤記修正: 池田さん感謝)

Apple 方面 (macOS, Safari, iCloud for Windows)
(Apple, 2018.06.01)

Apple 方面 (iOS, watchOS, tvOS, iTunes for Windows)
(Apple, 2018.05.29)


2018.06.04


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]