セキュリティホール memo

Last modified: Wed Jan 29 19:26:58 2020 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2020.01.29

Qualys Security Advisory - LPE and RCE in OpenSMTPD (CVE-2020-7247)
(Qualys, 2020.01.28)

 OpenBSD 標準のメールサーバー OpenSMTPD に欠陥。 commit a8e222352f, "switch smtpd to new grammar" (2018.05.24) 以降に欠陥があり、 local および remote から任意のシェルコマンドを実行できる。 日付からして OpenBSD 6.4 (2018.10.18) 以降が該当、ということでいいのかな。指摘者は OpenBSD 6.6 および Debian Bullseye 上の OpenSMTPD で検証したという。

 個人的にいちばん驚いたのはここ:

$ nc 127.0.0.1 25
220 obsd66.example.org ESMTP OpenSMTPD
HELO professor.falken
250 obsd66.example.org Hello professor.falken [127.0.0.1], pleased to meet you
MAIL FROM:<;sleep 66;>
250 2.0.0 Ok
(後略)

 そんな MAIL FROM を受け入れてしまうとは……。

 まだ修正されていない、という理解でいいのかな。

Apple 方面 (tvOS, iOS, iPadOS, watchOS, macOS, Safari, iCloud / iTunes for Windows)
(Apple, 2020.01.28)

 出ました。


2020.01.28

無料アンチウイルスソフト「Avast」がユーザーデータをGoogleやMicrosoftに販売していたことが明らかに
(gigazine, 2020.01.28)

 タダなものにはワケがあったということのようで。

追記

2020 年 1 月のセキュリティ更新プログラム (月例)

 Microsoft 2020 年 1 月月例更新、よりによって Windows 7 で不具合発生。 特定の条件で壁紙がまっくろになる。


2020.01.27


2020.01.24


2020.01.23


2020.01.22

追記

ウイルスバスターコーポレートエディション、Apex One、ウイルスバスタービジネスセキュリティに 2 件の欠陥、内 1 件は 0-day (2019.10.28)

 三菱電機がやられた話は、本件が原因か?

  • 【独自】三菱電機、複数の中国系ハッカー集団から攻撃か (朝日, 2020.01.22)

     昨年6月28日にシステムが不審な動きを検知したのをきっかけに、三菱電機は社内調査に着手。社内のパソコンに導入されていたトレンドマイクロ社のウイルス対策ソフト「ウイルスバスター」の管理サーバーに潜んでいた、対策が施されていない欠陥が悪用されたことが判明した。本社や拠点に対する不正アクセスの「踏み台」になっていたという。
     この欠陥はウイルスバスターの法人向け製品で見つかった。三菱電機の場合は社内のパソコンに修正ファイルなどを送る管理サーバーが乗っ取られ、不正アクセスにつながる改ざんされたファイルが社内のパソコンにばらまかれてしまったという。
     トレンドマイクロによると、欠陥は昨年10月に公表し、すでに修正したという。欠陥を悪用したサイバー攻撃を2件確認しているが、三菱電機が該当するかどうかについて、「個別の企業や団体に関する情報は当社からお答えできない」としている。

2020.01.21

追記

いろいろ (2020.01.14) Citrix Application Delivery Controller (NetScaler ADC)、Citrix Gateway web server (NetScaler Gateway)


2020.01.20

追記

2020 年 1 月のセキュリティ更新プログラム (月例) (2020.01.15)

 Windows 10の脆弱性を諜報機関の「NSA」が報告したことを専門家が重視する理由とは? (gigazine, 2020.01.15)

NSAがMicrosoftに対して発見した脆弱性を報告したという今回の事例は、「発見した脆弱性を隠し、自分たちの活動に使用する」という過去の方針から、NSAが脱却を図ったものだとみられています。元NSAのハッカーであるJake Williams氏は、「このバグは一般的なハッカーよりも政府機関にとって使いやすいバグといえます。中間者攻撃を行うための理想的な脆弱性でした」と主張し、発見した脆弱性が武器化されるのではなく、Microsoftと共有されたことを歓迎しています。

「Internet Explorer」にゼロデイ脆弱性、Microsoftは2月の月例セキュリティ更新で対処  古いスクリプトエンジン「jscript.dll」のメモリ破損でリモートコード実行、悪用も確認
(窓の杜, 2020.01.20)

 IE 9〜11 に 0-day 欠陥、remote から任意のコードを実行できる。 jscript.dll を読み込まないように ACL を設定することで回避できる。

 上記を実行しても、大半の環境では影響は出ないそうです。

By default, IE11, IE10, and IE9 uses Jscript9.dll which is not impacted by this vulnerability. This vulnerability only affects certain websites that utilize jscript as the scripting engine.

2020.01.17

いろいろ (2020.01.17)
(various)

Intel SNMP Subagent Stand-Alone for Windows, Chipset Device Software, RWC 3 for Windows, Processor Graphics, VTune Amplifier for Windows, DAAL, Product Security Center

各種 CDN

トレンドマイクロ パスワードマネージャー Windows 版 / Mac 版

5G 仕様

追記

いろいろ (2020.01.14) Citrix Application Delivery Controller (NetScaler ADC)、Citrix Gateway web server (NetScaler Gateway)

Chrome Stable Channel Update for Desktop
(Google, 2020.01.16)

 Chrome 79.0.3945.130 公開。11 件のセキュリティ修正を含む。


2020.01.16

Adobe 方面 (Illustrator CC, Experience Manager)
(Adobe, 2020.01.14)

 出ました。

Oracle Critical Patch Update Advisory - January 2020
(Oracle, 2020.01.14)

 Oracle 四半期定例更新出ました。VirtualBox は 6.1.2 / 6.0.16 / 5.2.36、 Java SE は 13.0.2 / 11.0.6 / 8u241 / 7u251 が出た模様。

 次回は 2020.04.14。


2020.01.15

2020 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft Security Response Center, 2020.01.15)

 Microsoft 月例更新出ました。今回で Windows 7 (ESU なし) と Windows Server 2008 / 2008 R2 は終了です。

 関連:

2020.01.20 追記:

 Windows 10の脆弱性を諜報機関の「NSA」が報告したことを専門家が重視する理由とは? (gigazine, 2020.01.15)

NSAがMicrosoftに対して発見した脆弱性を報告したという今回の事例は、「発見した脆弱性を隠し、自分たちの活動に使用する」という過去の方針から、NSAが脱却を図ったものだとみられています。元NSAのハッカーであるJake Williams氏は、「このバグは一般的なハッカーよりも政府機関にとって使いやすいバグといえます。中間者攻撃を行うための理想的な脆弱性でした」と主張し、発見した脆弱性が武器化されるのではなく、Microsoftと共有されたことを歓迎しています。

2020.01.28 追記:

 Microsoft 2020 年 1 月月例更新、よりによって Windows 7 で不具合発生。 特定の条件で壁紙がまっくろになる。


2020.01.14

いろいろ (2020.01.14)
(various)

Citrix Application Delivery Controller (NetScaler ADC)、Citrix Gateway web server (NetScaler Gateway)

追記

Firefox 72.0 / ESR 68.4.0 公開 (2020.01.08)

 Thunderbird 68.4.1 出ました。Firefox ESR 68.4.1 に追従しています。

  • Thunderbird 68.4.1 がリリースされた (MozillaZine, 2020.01.10)

    Thunderbird 68.4.1 では、Thunderbird 60 からの自動アップグレードが行われる。カレンダーアドオンである Lightning をインストールしている場合、こちらも新しい Thunderbird に適合したバージョンへの自動アップデートが行われる。

2020.01.10


2020.01.09

追記

Firefox 72.0 / ESR 68.4.0 公開 (2020.01.08)

 さっそく更新版 72.0.1 / 68.4.1 が出た。重要度「最高 (Critical)」のセキュリティ欠陥が修正されている。


2020.01.08

いろいろ (2020.01.08)
(various)

NVIDIA ディスプレイドライバー

phpMyAdmin

Firefox 72.0 / ESR 68.4.0 公開
((Mozilla, 2020.01.07)

 出ました。

2020.01.09 追記:

 さっそく更新版 72.0.1 / 68.4.1 が出た。重要度「最高 (Critical)」のセキュリティ欠陥が修正されている。

2020.01.14 追記:

 Thunderbird 68.4.1 出ました。Firefox ESR 68.4.1 に追従しています。

Chrome Stable Channel Update for Desktop
(Google, 2020.01.07)

 Chrome 79.0.3945.117 公開。3 件のセキュリティ修正を含む。


2020.01.07

いろいろ (2020.01.07)
(various)

Android

Firefox


2020.01.06


2020.01.01

 あけましておめでとうございます。


過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]