セキュリティホール memo

Last modified: Tue Sep 29 19:14:09 2020 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2020.09.29


2020.09.25


2020.09.24

DNS flag day 2020の実施について
(JPRS, 2020.09.24)

 来ましたね。

今回のDNS flag day 2020ではDNSからのIPフラグメンテーション[*2]の排除が目的とされており、権威DNSサーバーの運用者・フルリゾルバーの運用者・DNSソフトウェアベンダーの3者に向け、設定の確認・変更を含む対応が呼び掛けられています。

 こちらです: DNS flag day 2020 (dnsflagday.net)

 関連: DNS Summer Day 2020 の「IP フラグメンテーションを悪用したキャッシュポイズニング攻撃と対策

Security Updates Available for Adobe Media Encoder | APSB20-57
(Adobe, 2020.09.15)

 Windows 版 Adobe Media Encoder 14.3.2 以前に、情報漏洩を招く 3 件のセキュリティ欠陥。 Priority: 3

 Adobe Media Encoder 14.4 で修正されている。

追記

2020 年 8 月のセキュリティ更新プログラム (月例) (2020.08.20)

Firefox 81 / ESR 78.3.0 公開
(Mozilla, 2020.09.23)

 出てます。Thunderbird も出てます。

Chrome Stable Channel Update for Desktop
(Google, 2020.09.21)

 Chrome 85.0.4183.121 公開。10 件のセキュリティ修正を含む。 $15,000 が 2 件、$10,000 が 1 件含まれる。


2020.09.18

いろいろ (2020.09.18)
(various)

ユニクロアプリ (Android 版)

Apple 方面 (iOS / ipadOS, watchOS, tvOS, Safari, Xcode, iTunes for Windows)
(Apple, 2020.09.16)

 macOS の更新はないのかな。


2020.09.17


2020.09.16

追記

サイバー犯罪対策のシンポ (2015.08.07)

多喜田さんから (情報ありがとうございます)

「京(みやこ)サイバー犯罪対策シンポジウム(企業編)」からの発リンクがサラ金サイトになっています。
日付から追うに最近閉鎖されてしまったのかと思います。リンクのみ削除頂ければと思います。

「京(みやこ)サイバー犯罪対策シンポジウム(企業編)」は http://www.kyoto-conso.jp/project/003754.html にリンクしていたのだけど、 kyoto-conso.jp は「京都産業育成コンソーシアム」だったはずが「お金借りるならどこ?おすすめの借り入れ方法をFPが解説」という、サラ金案内サイトになってしまっていますね。 調べてみると、京都産業育成コンソーシアムは 2018 年に改組されて「京都知恵産業創造の森」になっていました。

  • 「一般社団法人京都知恵産業創造の森」設立の趣意 (京都知恵産業創造の森, 2018.11.27)

    これまで、京都府、京都市及び産業界のオール京都体制により「京都産業育成コンソーシアム」を設置し、京都産業を担う中小企業の育成支援に取り組んでまいりましたが、京都経済センターの整備を機に、このコンソーシアムを発展改組し、京都産学公連携機構及び一般社団法人京都産業エコ・エネルギー推進機構と一体的に運営を行う「一般社団法人京都知恵産業創造の森」を設立することといたしました。

で、ドメインが放棄され、別の人に買われてサラ金案内サイトになった、ということかな。


2020.09.15

JVNTA#95716145 - TLS 1.2 およびそれ以前の Diffie-Hellman 鍵交換に対する攻撃手法について (Raccoon Attack)
(JVN, 2020.09.14)

 TLS 1.2 以前かつ Diffie-Hellman 鍵交換を使用する場合に、特定の条件において中間者が暗号化を解除しセンシティブ情報を取得できる。TLS 1.3 にはこの欠陥はない。 Raccoon Attack に記載されている条件:

The attack generally targets the Diffie-Hellman key exchange in TLS 1.2 and below. There are two prerequisites for the attack:

 Raccoon Attack の発表者は、攻撃はとても困難であるとしている。

The vulnerability is really hard to exploit and relies on very precise timing measurements and on a specific server configuration to be exploitable.

 関連:

追記

2020 年 8 月のセキュリティ更新プログラム (月例) (2020.08.20)

 [AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 (Microsoft Security Response Center, 2020.09.14)

2020 年 9 月のセキュリティ更新プログラム (月例)
(Microsoft, 2020.09.09)

 対象 ( リリース ノート  2020 年 9 月のセキュリティ更新プログラム からコピペ):

 なぜ SQL Server を 2 度言うのだろう。 Japan Security Team はもちろん、 窓の杜 までもが SQL Server を 2 度言っている。何これ。

次の CVE には、追加情報が記載された FAQ があります。また、更新プログラムのインストール後に実行する * 追加の手順も記載されている場合があります。この一覧は今回のリリースが対応している CVE をすべて掲載しているわけではないことにご注意ください。

 こんな一覧あったんか……。

 関連:


2020.09.14


2020.09.09

Adobe 方面 (InDesign, Framemaker, Experience Manager)
(Adobe, 2020.09.08)

 出ました。


2020.09.08

いろいろ (2020.09.08)
(various)

GnuTLS


2020.09.04


2020.09.03


2020.09.02


2020.09.01

追記

JPRSサーバー証明書発行サービスをご利用中のみなさまへ - 中間CA証明書の切り替えに伴う、サーバー証明書の再発行・入れ替えのお願い - (2020.08.20)

 UPKI の新しいコード署名証明書も、再発行で対応となったようです。 (連絡が来た)

2020 年 8 月のセキュリティ更新プログラム (月例) (2020.08.20)

 関連:

  • KB4566782適用後、Lenovo PCでBSoDの不具合。対処方法あり (ニッチな PC ゲーマーの環境構築 Z, 2020.08.31)。Windows 10 バージョン 2004 用の、2020年8月の累積的な更新プログラム。

    Lenovoによると、これらのエラーはBIOSの設定で『Enhanced Windows Biometric Security』が有効になっている場合に発生するとのこと。

Firefox 80 / ESR 78.2.0 / ESR 68.12.0 公開
(Mozilla, 2020.08.25)

 出ました。Thunderbird も出てます。

いろいろ (2020.09.01)
(various)

Squid

PostgreSQL

Wireshark

Trend Micro Deep Security、Virtual Patch for Endpoint

NETGEAR GS716Tv2、GS724Tv3

Chrome Stable Channel Update for Desktop
(Google, 2020.08.25)

 Chrome 85.0.4183.83 が stable になってたんですね。20 件のセキュリティ修正を含む。


過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]