![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Mon Aug 19 17:35:09 2019
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
たくさん出ました。
Security Updates Available for Adobe After Effects | APSB19-31 (Adobe, 2019.08.13)
After Effects CC 2019 for Windows バージョン 16 以前の欠陥、16.1.2 で修正。Priority Rating: 3
Security Updates Available for Adobe Character Animator | APSB19-32 (Adobe, 2019.08.13)
Character Animator CC 2019 for Windows バージョン 2.1 以前の欠陥、2.1.1 で修正。Priority Rating: 3
Security Updates Available for Adobe Premiere Pro CC | APSB19-33 (Adobe, 2019.08.13)
Premiere Pro CC 2019 for Windows バージョン 13.1.2 以前の欠陥、 13.1.3 で修正。Priority Rating: 3
Security Updates Available for Adobe Prelude CC | APSB19-35 (Adobe, 2019.08.13)
Prelude CC 2019 fow Windows バージョン 8.1 以前の欠陥、 8.1.1 で修正。Priority Rating: 3
Security updates available for Creative Cloud Desktop Application | APSB19-39 (Adobe, 2019.08.13)
Creative Cloud Desktop Application for Windows/macOS バージョン 4.6.1 以前に 4 件の欠陥、 4.9 で修正。Priority Rating: 2
Security bulletin for Adobe Acrobat and Reader | APSB19-41 (Adobe, 2019.08.13)
Acrobat / Reader for Windows/macOS に 76 件の欠陥、以下のバージョンで修正。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2019.012.20036 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30144 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30499 |
Priority Rating: 2
Security updates available for Adobe Experience Manager | APSB19-42 (Adobe, 2019.08.13)
Experience Manager 6.4, 6.5 にリモートからのコードの実行を許す欠陥。 HotFix が提供されている。 Priority Rating: 1
Security updates available for Adobe Photoshop CC | APSB19-44 (Adobe, 2019.08.13)
Photoshop CC for Windows/macOS 19.1.8 以前 / 20.0.5 以前に 34 件の欠陥、 19.1.9 / 20.0.6 で修正。 Priority Rating: 3
出ました。 IE / Edge, Windows, Office, ChakraCore, Visual Studio, Online Services, Active Directory, Microsoft Dynamics
リモートデスクトップ方面のヤバい欠陥の修正が含まれるのだそうで:
Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182) (MSRC, 2019.08.13)
Microsoft's August 2019 Patch Tuesday Fixes 95 Vulnerabilities (BleepingComputer, 2019.08.13)
Microsoftが8月の月例パッチ公開、危険度の高いリモートデスクトップの脆弱性などを修正 (クラウド Watch, 2019.08.14)
ただし、セキュリティ更新を適用すると VisualBasic 方面でマクロやアプリが動作しなくなる不具合が発生。Windows 7 / 8.1、Windows 10 バージョン 1507 / 1607 / 1703 / 1709 / 1809、Windows Server 2008 R2 / 2012 / 2012 R2 / 2019 には patch が用意されている。 Windows 10 バージョン 1803 / 1903 用 patch はまだ出ていない。
【アプデ/10】 2019年8月14日のWindowsUpdate後、VB関連が死亡。Windows10全バージョンにて [Update 3: v1903 / v1803以外修正] (ニッチなPCゲーマーの環境構築, 2019.08.18)
Microsoft、8月のWindowsパッチが原因でVB6/VBA/VBScriptが動作不能になる問題を修正 「Windows 10 バージョン 1803」と「Windows 10 バージョン 1903」を除く (窓の杜, 2019.08.19)
上記 patch は、手動での個別ダウンロード・適用が必要みたい。
また、今回から Windows 7 / Server 2008 R2 用 patch の署名が SHA-2 のみになったが、Symantec Endpoint Protection においてこれに伴う不具合が発生している模様。 patch はまだ出ていない。
Endpoint Protection がインストールされていると SHA-2 署名のみの Windows 7 / Windows 2008 R2 更新を利用できない (シマンテック)
2019 年 8 月 14 日 — KB4512486 (セキュリティのみの更新プログラム) (Microsoft)
マイクロソフトと Symantec は、デバイスで Symantec または Norton のウイルス対策プログラムを実行中であり、SHA-2 証明書のみで署名された Windows 用の更新プログラムをインストールしているときに発生する問題を特定しました。 Windows の更新プログラムが、インストール時にウイルス対策プログラムによってブロックまたは削除され、それによって Windows が動作しなくなることや起動に失敗することがあります。
この書かれ方だと、Norton シリーズでも不具合が発生している模様。
マイクロソフトは、影響を受けるバージョンの Symantec Antivirus または Norton Antivirus がインストールされているデバイスに一時的にセーフガードを設定し、解決策を利用できるようになるまでこの種類の Windows 更新プログラムを受け取らないようにしました。 解決策を利用できるようになるまでは、影響を受ける更新プログラムを手動でインストールしないことをお勧めします。
待つしかなさそうです。
Does Windows Update SHA2 problem affect SEP 12.1.x? (Symantec Connect)
Symantec cannot handle SHA-2 and breaks Windows 7 and Server 2008 R2 (ZDNet, 2019.08.14)
その他、不具合まとめ:
【アプデ/7/8.1】 WindowsUpdate 2019年8月度 注意事項と各KBメモと直リンク [Update 7: その他の留意事項] (ニッチなPCゲーマーの環境構築, 2019.08.19)
すいません、法定点検に伴う停電により 09 時くらいから 17 時くらいまで止まってました。
》 あのSuica事案が国立大入試問題になっていた (高木浩光@自宅の日記, 8/3)
》 脆弱性に対するヤフーの取り組みについて (Yahoo! JAPAN デベロッパーネットワーク, 8/7)
》 ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた (piyolog, 8/1)
》 平塚市元職員による個人情報持ち出しと選挙活動への利用疑惑についてまとめてみた (piyolog, 8/9)、平塚市議が個人情報持ち出し 選挙利用か (中日, 8/8)。渡部亮市議(40)。
》 SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた (piyolog, 8/6)
》 露ハッカー集団がプリンターなどから企業に侵入--マイクロソフトが警告 (CNET, 8/7)。こういうの、あいかわらずあるんですね。 そりゃああるよなあ。
》 IPA「情報セキュリティ白書2019」PDF版の無料公開開始! AIやIoTなどをテーマに解説 (Internet Watch, 8/8)
》 ブロードコム、シマンテックの企業向け事業部門を買収へ-107億ドル (ブルームバーグ, 8/9)。107億ドル、現金で、だそうで。うひー。
7 月の頭に話題になったあと、
シマンテック、Broadcomが買収を検討中との報道--5月にはCEO辞任など (ZDNet, 7/4)
ブロードコムによるシマンテック買収交渉が進んでいるとの報道 (Publickey, 7/5)
打ち切り説も出ていたようですが、
シマンテック株急落、ブロードコムとの合併協議打ち切りと関係者 (ブルームバーグ, 7/15)
結局、現金 107 億ドルで合意ですか。
Broadcom、Symantecの法人向けセキュリティビジネスを107億ドルで買収 (クラウド Watch, 8/9)
取引の完了後、BroadcomはSymantecのブランド名を引き継ぎ、これらのセキュリティソリューションを自社のポートフォリオに組み込む予定だ。Nortonなどをはじめとするコンシューマ向けブランドは、引き続きSymantec社が展開すると見られている。
うわ、ややこしや。
Karma でも大活躍したという iMessage についての記述量が圧倒的に多いのが興味深い。
Chrome 76.0.3809.100 公開。4 件のセキュリティ修正を含む。
Multiple vulnerabilities in Jenkins plugins (oss-sec ML, 2019.08.07)
Security issues in various deepin D-Bus services and tools (oss-sec ML, 2019.08.05)
[CVE-2018-11782, CVE-2019-0203] Apache Subversion svnserve vulnerabilities (Apache, 2019.07.31)。Subversion 1.12.2, 1.10.6, 1.9.12 で修正。
Django security releases issued: 2.2.4, 2.1.11 and 1.11.23 (Django, 2019.08.01)
「PostgreSQL 11.5」リリース、4件のセキュリティ問題を修正 (OSDN, 2019.08.09)
ClamAV 0.101.3 security patch release and 0.102.0-beta have been published (ClamAV, 2019.08.05)
ClamAV 0.101.3 is a patch release to address a vulnerability to non-recursive zip bombs.
「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ (gigazine, 2019.07.05) の件の修正かな。
あと、同梱されている libmspack が 0.10alpha となり、0.9.1alpha 未満に存在した buffer overflow する欠陥が修正されているそうです。
サイランス製品にマルウェア検知回避の問題、アルゴリズム改良で対処 (ZDNet, 2019.08.05)
Cylance, I Kill You! (Skylight Cyber, 2019.07.18)
Resolution for BlackBerry Cylance Bypass (Cylance, 2019.07.21)
VU#489481 - Cylance Antivirus Products Susceptible to Concatenation Bypass (US-CERT, 2019.08.01)
JVNVU#98738756 - Cylance のアンチウイルス製品にマルウエア検知を回避される問題 (JVN, 2019.08.02)
ワークアラウンド(セキュリティ製品開発者向け)
セキュリティ製品開発においても、多層防御の考え方が重要です。機械学習によるマルウエア検知機能は基本的にファイルの改変にたいして脆弱であると考えられます。機械学習機能に加え、シグネチャベースやルールベースなど既存の手法も組み合わせてください。また、機械学習機能を実装したツールに対しては、CleverHans, Foolbox, Adversarial Robustness Toolbox など広く知られているツールを使って生成したデータ("adversarial example")を使ったテストを行ってください。
VMSA-2019-0012 - VMware ESXi, Workstation and Fusion contain out-of-bounds read/write vulnerabilities in the pixel shader functionality (VMware, 2019.08.02)。ESXi 6.0 は影響を受けない。
Symantec Endpoint Protection 14.x のすべてのバージョンの新機能 (Symantec, 8/6 更新)
Endpoint Protection 14.2 RU1 MP1 で修正された問題とコンポーネントのバージョン (Symantec, 8/6 更新)
リリース済みの Symantec Endpoint Protection のバージョン情報 (Symantec, 7/6 更新)。まだ更新されてないっぽい。
macOS 10.14.5 以降については、 14.2 RU1 (リフレッシュ) 以降でないと対応していないそうで。 ややこしや。
Endpoint Protection クライアントと Mac との互換性 (Symantec, 8/5 更新)
》 LibreSSL 3.0.0 が 8/5 付で出ています。development release です。stable release の最新は 2.9.2 です。
》 京アニ放火、30秒後には危機的状況に 京大防災研が煙の流動シミュレーション (ITmedia, 8/6)
第1スタジオは建築基準法に基づき、らせん階段に防煙垂れ壁を設置するなど法令を順守した建物だったが、西野准教授は「法律にのっとった建築物でも、さまざまな火災の可能性を考慮し、自主的に火災安全性を高める工夫が必要だ」と指摘。その上で「吹き抜け空間を作る場合は、避難用の屋外階段や全周バルコニーを設置するなど、火災発生から早期に外に退避できるような設計が重要になる」と述べた。
オリジナルはこちら: 2019年7⽉18⽇に京都アニメーション第1スタジオで発⽣した放⽕⽕災の分析 (京都大学防災研究所, 8/2)
》 “Twitter”の「TLS 1.2」移行で「Tween」が接続不能に ~修正版のv1.7.4.0が公開(8月5日追記) (窓の杜, 7/30)
》 Amazon「Alexa」、従業員による音声データ解析を停止するオプション (Internet Watch, 8/6)
会話データの収集を停止するオプション自体は以前から存在しており、日本語版にも同様のオプションが設けられているが、今回その説明書きに、音声録音の一部が手動で解析される場合があるという文言が追加された
通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)
HongMeng(鴻蒙) OS、いよいよ登場?
Huawei、8月9日に「HongMeng OS」発表か 中国官営メディアが報道 (ITmedia, 2019.08.06)。 8/9 に Huawei Developer Conference 2019 が開催されるのですね。14:30 (GMT+8) からライブ中継だそうで。
ファーウェイ独自OS「HongMeng」搭載スマホ、今年後半に発売のうわさ (engadget, 2019.08.05)
その他
ファーウェイ、米研究開発スタッフを大量レイオフ。事実上の制裁措置で本社との連絡も困難に(WSJ報道) (engadget, 2019.07.16)
人員削減の報道から見えるファーウェイの苦境…独自のスマホOSも本音は間に合わない? (gizmodo, 2019.07.17)
いくらファーウェイを叩いても、中国は2040年「世界一の大国」になる (野口 悠紀雄 / 現代ビジネス, 2019.07.17)
ファーウェイ、イタリアに3年で3300億円投資へ (AFPBB, 2019.07.16)
ファーウェイがロシアで5G通信網開発へ (AFPBB, 2019.06.06)
ファーウェイのアフリカ進撃、米包囲網の脱出口となるか? (AFPBB, 2019.06.10)
スマートフォンの近未来巨大市場はアフリカと中東、そしてほぼ中国の独壇場 (techcrunch, 2019.07.31)
ファーウェイ、北朝鮮の3G網構築支援か。2016年には盗聴機能も (engadget, 2019.07.24)
Kubernetes v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249 (oss-sec ML, 2019.08.06)
セキュリティ修正を含みます。
PHP 7.3.8 ChangeLog (PHP, 2019.08.01)
PHP 7.2.21 ChangeLog (PHP, 2019.08.01)
PHP 7.1.31 ChangeLog (PHP, 2019.08.01)
NVIDIA製GPUのディスプレイドライバーに5件の脆弱性 ~修正版へのアップデートを (窓の杜, 2019.08.05)
security patch level 2019-08-01 および 2019-08-05。
》 Microsoft、「May 2019 Update」でディスプレイの輝度調整が反応しない問題を解決 累積的更新プログラム「KB4505903」で (窓の杜, 8/5)
この累積的更新プログラムでは、RASMANサービスがエラー“0xc0000005”で動作を停止する問題や、EIZOが指摘していたディスプレイの表示不具合なども解決されている。
》 大量のbotが作った「架空の交通渋滞」 イスラエルで起きたハッキングと人間の「反脆弱性」 (ITmedia, 8/5)
》 「小説ドラクエV」作者・久美沙織さん、映画ドラクエ製作委員会を提訴 「主人公の名前『リュカ』を無断で使用された」とクレジット求める (ITmedia, 8/5)。ひどいことするなあ。 別ものだと言いたいなら、ぜんぜん別の名前にすればいいだけなのに。 酷評されているオチの話も、根本は同じだと思う。 原作・派生作へのリスペクトが足りなさすぎ。
関連:
【悲報】映画ドラクエ、史上屈指の酷評「実写デビルマンとドラクエ映画、どっちか見るならデビルマン選ぶ」 (まとめまとめ, 8/3)。デビルマン越え……。
映画「ドラゴンクエスト ユア・ストーリー」、 山崎貴が人の心を折りにくると評判に (市況かぶ全力2階建)
映画『ドラゴンクエスト ユアストーリー』感想。というか罵倒。大人の作家的虚栄心のために子供の観客を踏みつけちゃダメ。 (CDBのまんがdeシネマ日記, 8/4)
あぁ、総監督・脚本: 山崎貴なのね。なるほどね。
あらためてしみじみ思う、MCU の偉大さ。
》 20人死亡のエルパソ乱射事件、「8chan」がまた犯行予告に利用された (ITmedia, 8/5)、 Cloudflare、8chanのサポートを停止 エルパソ乱射事件を受けて (ITmedia, 8/5)
》 1億人超の個人情報流出、容疑者はAmazon元従業員 クラウドセキュリティに不安の声も (ITmedia, 8/5)。Capital One の件。
》 対韓輸出規制「劇薬」のはずが文大統領への助け舟に (毎日 / Yahoo, 8/4)。本当になあ。
IMF(国際通貨基金)危機直後の金大中(キム・デジュン)政権で、日韓外交に関与した韓国外務省高官は (中略) 「韓国が守勢に立たされていた徴用工問題が変質した」とみる。今までは韓国最高裁判決は「国際法違反」と日本からの批判攻勢にさらされていたのに、輸出規制後は「日本こそ国際法違反」と国際社会に向けて反論できるカードを得たからだ。経済的には打撃だが、国際政治的には文大統領への「助け舟」になったというのだ。
》 円急騰、一時105円台 政府・日銀が緊急会合へ (日経, 8/5)。円安終了ですかね。
Symantec Endpoint Protection (SEP) および Symantec Endpoint Protection Small Business Edition (SEP SBE) に欠陥。権限上昇を招く欠陥がある。 「アプリケーションとデバイス制御」コンポーネントを削除することで回避できる。
SEP 14.2 RU1 および SEP SBE 12.1 RU6 MP10c (12.1.7491.7002) で修正されている。 SEP 12 系列にもこの欠陥があるが、SEP 12 系列の更新はリリースされないっぽい。
そういえば Chrome 76.0.3809.87 が出ていたのでした。43 件のセキュリティ修正を含みます。
》 あいちトリエンナーレに「安倍首相と菅官房長官の口をヒールで踏む作品」は誤り (BuzzFeed, 8/2)
就活生の「辞退予測」情報、説明なく提供 リクナビ 【イブニングスクープ】 (伴正春 / 日経, 8/1 18:00)
就職情報サイト「リクナビ」を運営するリクルートキャリア(東京・千代田)が、就活学生の「内定辞退率」を本人の十分な同意なしに予測し、38社に有償で提供していたことがわかった。個人情報保護法は、個人情報の外部提供に本人の同意取得を義務付けており、違反の恐れもある。個人情報保護委員会が事実関係の確認を始め、リクナビは7月末でデータ販売を休止した。
当社サービスに関する、一部の報道につきまして (リクルートキャリア, 8/1)
学生の応募意思を尊重し、合否の判定には当該データを活用しないことを企業に参画同意書として確約いただいています。
つまり、合否の判定に活用できてしまうようなデータであると。
なお、本サービスは、2018年3月のサービス開始以降、38社に対して、試験的な運用を積み重ねてきました。
このように書かれると無償のテスト運用だったのかなと思ってしまうのだが、 上記日経記事には「38社に有償で提供」という記述がある。
リクナビ、就活生の内定辞退予測を販売 説明足りぬまま (朝日, 8/1 23:44)
リクナビが就活生の「辞退予測」情報を提供――選考の「辞退可能性」も5段階で判定していた (ITmedia, 8/1)
例えばA社に対しては、「現在A社を受けている学生」がどれだけA社の選考・内定を辞退しそうか、5段階で判定した結果を提供。判定にあたっては、「前年度にA社の選考・内定を辞退した学生」がリクナビ上でどんな行動を取っていたか――といったデータを、個人が特定されない形で活用・分析し、アルゴリズムを作成。現在A社を受けている学生の行動と照合していたという。
就活、問われるデータ管理 「辞退予測」に学生困惑 (日経, 8/2)
リクナビは約80万人の学生が登録する業界大手。学生がいつ、どの企業の情報をどれくらい見たかといった閲覧履歴から、企業ごとの「内定辞退率」を5段階で算定。学生の氏名を特定した状態で、データを定期的に利用企業に提供していた。利用料金は他の支援サービスと合わせて年400万~500万円程度だった。
リクナビ「内定辞退率」提供、人事は「のどから手が出るほどほしい」 (小原 擁 / 日経ビジネス, 8/2)
「期間を区切り、よーいドンで採用活動が始まると、採用日程もかぶるので、人材の取り合いになる。そんな中、50%の確率で内定辞退する人と、5%の確率で辞退する人が採用プロセスの段階で分かれば役に立つ。採用企業側としては、そのデータはのどから手が出るほどの価値があるし、データに基づいた採用戦略も立てられる。同じ評価の学生なら、(辞退する確率が)5%の学生の採用に注力するのが効率的だ」。人事業務の経験がある大手企業の社員はこう打ち明ける。
リクルート内定辞退予測データ販売事件で問われるHRTechの合法性 (cloudsign.jp, 8/2)
柴山昌彦文部科学大臣記者会見録(令和元年8月2日) (文科省, 8/2)
リクナビDMPフォローの一時休止についてまとめてみた (piyolog, 8/2)
》 京アニ放火犠牲者、警察が氏名公表 遺族了承後の10人 (朝日, 8/2)
犠牲者の公表に2週間余りかかった理由について、府警の西山亮二・捜査1課長は「実名公表に関し、個々の被害者のご遺族と、実名公表に反対している会社側の意向を丁寧に聞きながら、広報方法とタイミングについて慎重に検討を進めた結果」と説明した。
》 山市良のうぃんどうず日記(158): Windows 10トラブル“未”解決事例──スタートメニューに現れた「謎のショートカット」は見ないこと、見えないことに (@IT, 7/31)
「ms-resource:……」の謎ショートカットは、いつか解消されることを期待して、放置して無視すること――。壊れてもすぐに戻せる仮想マシン環境でいろいろ試してみた筆者の結論です。
》 Tech TIPS: 【Windows 10】不具合が発生した特定の更新プログラムだけを将来も非適用扱いにする (@IT, 8/1)
Microsoftが無償で提供しているトラブルシューティングツール「Show or hide updates」を使った特定の更新プログラムのブロック方法を紹介しよう。
》 Google、認証端末「Titanセキュリティーキー」を日本でも発売 6000円 (ITmedia, 8/1)。「Googleストアで販売されているのは、PCのUSBポートにさして使うものと、Bluetoothで接続して使うのものの2つがバンドルされている」
》 母親の旧姓、安易に他人に教えてない? 個人情報を教えてしまうハードルはどれぐらい? (山賀 正人 / Internet Watch, 8/1)
1 Million+ ProFTPD Servers Vulnerable To Remote Code Execution Attacks (fossbytes.com, 2019.07.25)
100万台以上のProFTPdサーバに脆弱性、アップデートまでは回避策を (マイナビニュース, 2019.07.31)。Git リポジトリ上では既に修正されている。 リリース版はまだ。
EPEL など、mod_copy が含まれていない ProFTPd パッケージでは問題がない。 mod_copy が含まれているパッケージを使用している場合は、mod_copy を削除することで回避できる。
proftpd/contrib/mod_copy.c (GitHub)。2019.07.18 付で修正されている。
ProFTPd CVE-2015-3306 mod_copy脆弱性のメモ (watarin's memo, 2015.05.22)。mod_copy の昔の欠陥の解説だが、回避方法や検証方法などは参考になる。
PowerDNS Security Advisory 2019-06: Denial of service via crafted zone records (PowerDNS, 2019.07.30)。 CVE-2019-10203。 「Affects: PowerDNS Authoritative 4.0.0 and up, when using the gpgsql (PostgreSQL) backend」。4.2.0, 4.1.11, 4.0.9 では修正されているそうです。 ただし影響を受けるバージョンを利用している場合は、ソフトウェアの更新ではなく、 PostgreSQL スキーマの手動変更が必要だそうで:
Upgrading is not enough - you need to manually apply the schema change:
ALTER TABLE domains ALTER notified_serial TYPE bigint USING CASE WHEN notified_serial >= 0 THEN notified_serial::bigint END;
OpenSSL Security Advisory [30 July 2019] (OpenSSL, 2019.07.30)。Windows builds with insecure path defaults (CVE-2019-1552) (Severity: Low) だそうで。OpenSSL 1.1.1, 1.1.0, 1.0.2 に影響。 Low なので、次のリリース時に修正される。開発コードは既に修正されている。
iida さん情報ありがとうございます。
Security restrictions bypass in OpenSSL for Windows (cybersecurity-help.cz, 2019.07.30)。External links に git.openssl.org へのリンクがあります。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点 (2019.07.04)
オムニ7アプリのソースが GitHub で公開されていた模様 (Business Insider が 7/24 付で報道)。
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか (Business Insider, 2019.07.24)
ユースケさんによると、このソースコードは、少なくとも7月10日ごろまではGitHub上に存在した。一目見て「今回の問題に関連する重要な情報だ」と感じたユースケさんは、事前にGitHubのスクリーンショットを残していた。
ユースケさんが発見したソースコード(便宜的にソースコードAと呼称)が削除されて以降も、同様にオムニ7のAPIサーバーの名前で検索すると別のリポジトリ(保存場所)がヒットする状況だった。そこには、消えたソースコードAより古い、開発初期と思われるソースコード(ソースコードBと呼称)の断片があった。
以下は7pay取材班が、7月19日時点で公開状態にあったことを確認した画面のスクリーンショットだ。
「オムニ7」アプリのソースコードが流出、7payに続き新たな問題発覚 (日経 xTECH, 2019.07.24)
7iD、全ユーザーのパスワードをリセット (7/30)。
「7pay(セブンペイ)」に対する不正アクセスの件(第 5 報) 「7iD パスワード」の一斉リセットについて (セブン&アイ・ホールディングス, 2019.07.30)
【7pay への不正アクセスによる現時点での被害者数・金額】※株式会社セブン・ペイ認定
807 人/38,605,335 円
※2019 年 7 月 29 日(月)17:00 現在
※7 月中旬以降、新たな被害は確認できておりません。
7Pay 謎の全利用者パスワードリセットを実施 (楠 正憲 / comemo, 2019.07.31)
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。(中略)
一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。(中略) 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定できない場合や、全利用者のパスワードハッシュが漏洩してしまって被害者を特定できない場合など、リスト型攻撃よりも深刻なバグまたは不正アクセスの被害が生じた場合に限られる。
ですよねえ……。
7payの不正利用を受け、7iDのパスワードを全員リセットに…→再設定するとクーポンや7payの残高が消えたとの報告が相次ぐ (togetter, 2019.07.31)。ひどい。
7pay、9/30 でサービス終了を発表 (8/1)。
オフィシャル
7pay(セブンペイ)」サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について (セブン&アイ・ホールディングス, 2019.08.01)
2)直近の被害状況について
808 人 / 38,615,473 円(7 月 31 日 17:00 現在)
※なお、7 月中旬以降、新たな被害は確認されておりません。
7pay サービスは、9/30(月)をもちまして、すべてのサービスを終了させて頂きます (7pay, 2019.08.01)
「7pay」9月30日にサービス廃止、サービス継続は困難と判断 (Internet Watch, 2019.08.01)
7pay終了へ 記者会見の一問一答まとめ (ITmedia, 2019.08.01)
――2要素認証などの検討が十分じゃなかったのは、利便性を優先したためか
奥田:われわれとしては、利用状況をモニタリングする体制をしっかりできていれば大丈夫という判断だった。
事前に導入を検討したが不要と判断した、ということか?
――GitHubにソースコードが流出していたという報道もあるが
田口:ソースコードは15年秋のもの。ログイン形式などは直接書いていない。今のようなサービスは想定していなかったので、仮にそのままアプリケーションを再構築しても影響はない。管理不行き届きについてはおわびしたい。
なんだか軽いなあ。
わずか1カ月で終了決まった7pay 2段階認証にしなかった理由は? 緊急会見で語られたこと (ねとらぼ, 2019.08.01)
「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問 (井上翔 / ITmedia, 2019.08.01)
ただ、今回の説明には疑問も残る。1つは、「リスト型攻撃」では説明しづらい不正利用報告がある点だ。(中略) もう1つの疑問点が、7pay“以外”のサービスのセキュリティについての説明が不十分なことだ。
7pay廃止決定、セブン&アイを待つデジタル戦略の前途多難 (津久井 悠太 / 日経ビジネス, 2019.08.02)
「数千万回の攻撃受けた」セブンペイ終了会見が判然としない理由 (伊藤 有 / Business Insider Japan, 2019.08.02)
「7iDは十分なセキュリティ」、7payの二段階認証導入も「モニタリングで守れる」と判断し見送り――セブン&アイHDの開発体制 (磯谷 智仁 / Internet Watch, 2019.08.02)
悲惨の極みですが、コンビニ 24 時間営業問題における 7-11 経営陣の時代錯誤感と通ずるものを感じるんだよなあ。
あと、以下の件は、7pay 自身が終了しちゃうので、結果としてどうでもよくなっちゃいそう:
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点 (ITmedia, 2019.07.13)
》 クロネコメンバーズの二段階認証、実は無意味な飾りだった (togetter, 7/28)、クロネコメンバーズの2段階認証“スマホだと無意味” ヤマト運輸「サービス全般を再点検していく」 (ねとらぼ, 7/29)。スマホ用サイトでは二段階認証を設定しても効かないという、とんでもないオチ。
》 三菱航空機の命運握る次世代機の開発始まる、「新技術を投入」 (日経 xTECH, 8/1)。SpaceJet M100。
ここで重要となるのが、これまでの開発で得た資産をどこまで生かし、M100としてどの部分を新規開発するかの見極めだ。資産としてはM90だけでなく、旧MRJ70も含まれる。例えば、現時点では中断しているものの、MRJ70として2機(8号機と9号機)が組み立て作業に入っていた。しかし、MRJ70は全長が33.4mだったがM100は34.5mとサイズが異なるため、M100としての試験に活用できるかは未定だ。
SpaceJet M100 は MRJ70 とは異なる機体なのか。知らんかった。
過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)