セキュリティホール memo

Last modified: Wed Dec 2 19:02:09 2020 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2020.12.02

ファイル・データ転送アプライアンス FileZen に関する注意喚起
(JPCERT/CC, 2020.12.02)

 FileZen V4.2.2 以前に欠陥。詳細不明。 V4.2.3 以降で修正されている。 最新は V5.0.0 / V4.2.5。

追記

Firefox 83.0 / ESR 78.5.0 公開 (2020.11.18)

 Thunderbird 78.5.0、78.5.1 が出ています。 セキュリティ修正を含みます。


2020.11.30

追記

複数の SSL VPN 製品の脆弱性に関する注意喚起 (2019.09.02)


2020.11.27


2020.11.26

追記

DNSキャッシュポイズニングの新たな手法「SAD DNS」、研究者が発見 (2020.11.18)

いろいろ (2020.11.26)
(various)

Drupal

VMware 各種

ウイルスバスター クラウド / for Mac

PAM 1.5.0


2020.11.23


2020.11.20


2020.11.18

Firefox 83.0 / ESR 78.5.0 公開
(Mozilla, 2020.11.17)

 Firefox 83.0 / ESR 78.5.0 公開されました。Android 版も出ています。

2020.12.02 追記:

 Thunderbird 78.5.0、78.5.1 が出ています。 セキュリティ修正を含みます。

Cisco Security Manager の複数の脆弱性に関する注意喚起
(JPCERT/CC, 2020.11.18)

 Cisco Security Manager 4.21 以前に複数の欠陥。PoC 公開済。4.22 で修正。

 関連:

DNSキャッシュポイズニングの新たな手法「SAD DNS」、研究者が発見
(ZDNet, 2020.11.13)

 サイドチャネルを使って UDP ポート番号を割り出し、DNS キャッシュ毒入れ攻撃を再び現実のものに。Windows、Mac、Linux、FreeBSD いずれも脆弱。うひー。

2020.11.26 追記:

 SAD DNSのICMP rate limitを用いたサイドチャネル攻撃について (knqyf263's blog, 2020.11.19)


2020.11.17


2020.11.16

Apple 方面 (macOS、Safari、iOS、WatchOS、tvOS)
(Apple, 2020.11.05〜)

 いろいろ出ました。

いろいろ (2020.11.16)
(various)

Intel 各種製品

Adobe Connect, Acrobat Reader Mobile

Ubuntu


2020.11.12

Chrome Stable Channel Update for Desktop
(Google, 2020.11.11)

 Chrome 86.0.4240.198 公開。2 件の 0-day 欠陥を修正。

追記

Chrome Stable Channel Update for Desktop (2020.11.10)

 1147056 は Tianfu Cup 2020 の件?

  • Stable Channel Update for Desktop (Google, 2020.11.09)。いつのまにか改訂されている。

    [$N/A][1146679] High CVE-2020-16016: Inappropriate implementation in base. Reported by Rong Jian and Leecraso of 360 Alpha Lab on 2020-11-07
  • Google and Mozilla fixed issues exploited at 2020 Tianfu Cup hacking contest (securityaffairs.co, 2020.11.11)

    The vulnerability in Chrome exploited by hackers at the 2020 Tianfu Cup, tracked as CVE-2020-16016, is an inappropriate implementation issue that resided in the base component. Google addressed the flaw with the release of Chrome 86.

 Edge も CVE-2020-16016 対応版が出たようです。


2020.11.11

2020 年 11 月のセキュリティ更新プログラム (月例)
(Microsoft, 2020.11.11)

 Microsoft 2020.11 patch 公開。対象:

 FAQ:

次の CVE には、追加情報が記載された FAQ があります。また、更新プログラムのインストール後に実行する * 追加の手順も記載されている場合があります。この一覧は今回のリリースが対応している CVE をすべて掲載しているわけではないことにご注意ください。

 関連:


2020.11.10

いろいろ (2020.11.10)
(various)

WordPress 用プラグイン Ultimate Member

Chrome Stable Channel Update for Desktop
(Google, 2020.11.09)

 Chrome 86.0.4240.193 公開。1 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。

[1147056] Various fixes from internal audits, fuzzing and other initiatives

 Tianfu Cup 2020 で Chrome も攻略されたそうだが、その修正は含まれていないみたい。

2020.11.12 追記:

 1147056 は Tianfu Cup 2020 の件?

 Edge も CVE-2020-16016 対応版が出たようです。

追記

Firefox 82.0 / ESR 78.4.0 公開 (2020.10.22)

 Firefox 82.0.3 / ESR 78.4.1、Thunderbird 78.4.2 が公開されました。 セキュリティ修正を含みます。 iida さん情報ありがとうございます。


2020.11.09


2020.11.06


2020.11.05

Security Updates Available for Adobe Acrobat and Reader | APSB20-67
(Adobe, 2020.11.03)

 14 件のセキュリティ欠陥を修正。 Priority Rating: 2

種別 更新版
Acrobat DC / Acrobat Reader DC (Continuous Track) 2020.013.20064
Acrobat 2020 / Acrobat Reader 2020 (Classic 2020) 2020.001.30010
Acrobat 2017 / Acrobat Reader 2017 (Classic 2017) 2017.011.30180

 Acrobat 2015 はサポート終了してます


2020.11.03

Chrome Stable Channel Update for Desktop
(Google, 2020.11.02)

 Chrome 86.0.4240.183 公開。10 件のセキュリティ修正を含む。$15000 が 2 件もあるなあ。今回も 0-day の修正が。

[$NA][1143772] High CVE-2020-16009: Inappropriate implementation in V8. Reported by Clement Lecigne of Google's Threat Analysis Group and Samuel Groß of Google Project Zero on 2020-10-29
(中略)
Google is aware of reports that an exploit for CVE-2020-16009 exists in the wild.

CVE-2020-15999, CVE-2020-17087: Google Chrome FreeType and Microsoft Windows Kernel Zero Days Exploited in the Wild
(tenable, 2020.11.02)

 Chrome 86.0.4240.111 で修正された 0-day CVE-2020-15999 は、Windows Kernel の 0-day CVE-2020-17087 と組みあわせて、Chrome の sandbox を突破するのに使われていたのだそうで。

 CVE-2020-17087 の修正は、今月の Windows Update の日 (11/11) に提供される予定だそうです。


2020.11.02

Oracle Security Alert Advisory - CVE-2020-14750
(Oracle, 2020.11.01)

 October 2020 patch で修正された CVE-2020-14882 に関連する、 WebLogic Server 10.3.6.0.0 / 12.1.3.0.0 / 12.2.1.3.0 / 12.2.1.4.0 / 14.1.1.0.0 を remote から無認証で攻略できる欠陥 CVE-2020-14750 があるそうで。 既に exploit が公開されているそうです。iida さん情報ありがとうございます。

 patch があるようなので適用してください。


過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]