セキュリティホール memo

Last modified: Mon Dec 4 19:10:20 2023 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2023.12.04


2023.11.30

[SECURITY] CVE-2023-46589 Apache Tomcat - Request Smuggling
(apache.org, 2023.11.29)

 Apache Tomcat 8.5 / 9.0 / 10.1 / 11.0 系列に欠陥。 HTTP Trailer Header の扱いに欠陥があり、Header サイズ制限を越えるような攻略 Trailer を送ることにより、1つのリクエストを複数のリクエストであるかのように認識させることが可能。 iida さん情報ありがとうございます。

 Apache Tomcat 8.5.96 / 9.0.83 / 10.1.16 / 11.0.0-M11 で修正されている。

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2023.11.28)

 Chrome 119.0.6045.199 (Mac / Linux) および 119.0.6045.199/.200 (Windows) 公開。 0-day (CVE-2023-6345) を含む、計 7 件のセキュリティ修正あり。

 関連:


2023.11.29


2023.11.28


2023.11.27


2023.11.24

Firefox 120.0 / ESR 115.5.0、Thunderbird 115.5.0 公開
(Mozilla, 2023.11.21)

 出てました。セキュリティ修正を含みます。


2023.11.22


2023.11.17

追記

Chrome Stable Channel Update for Desktop (2023.11.15)


2023.11.16

日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起
(JPCERT/CC, 2023.11.16)

 Array AG シリーズ SSL VPN を狙った攻撃を追いかけていたら他の活動にも気がついた、という話みたい。

〇 攻撃活動(A):Array Networks Array AGシリーズの脆弱性を悪用する攻撃活動
(中略)
〇 攻撃活動(B):Proselfの複数の脆弱性を悪用する攻撃活動
(中略)
〇 攻撃活動(C):Array Networks Array AGシリーズ、Proself、Fortinet FortiOSおよびFortiProxy製品のいずれかの利用組織を狙う攻撃活動

 接続元/接続先の情報も記載されている。

いろいろ (2023.11.16)
(various)

Zoom クライアント、Zoom Rooms / Rooms クライアント、Zoom VDI クライアント

Intel 各種

AMD EPYC 第1~第3世代

VLC media player

VMware Cloud Director Appliance

Fortinet FortiClient / FortiGate

「Acrobat」「Photoshop」「Premiere Pro」などに致命的な脆弱性~Adobeの月例セキュリティ更新  14製品が対象、計76件の問題に対処
(窓の杜, 2023.11.15)

 大量に出たようで。 いずれも Priority: 3。

追記

2023 年 11 月のセキュリティ更新プログラム (月例) (2023.11.15)

 Azure CLI REST コマンドの情報漏えいの脆弱性 CVE-2023-36052 について:

 不具合情報:


2023.11.15

Chrome Stable Channel Update for Desktop
(Google, 2023.11.14)

 Chrome 119.0.6045.159 (Mac / Linux) および Chrome 119.0.6045.159/.160 (Windows) 公開。 4 件のセキュリティ修正を含む。

 関連:

2023.11.17 追記:

 Edge の更新も出ました。

2023 年 11 月のセキュリティ更新プログラム (月例)
(Microsoft, 2023.11.15)

 出ました。63 MS CVE + 15 non-MS CVE だそうで。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day は 5 件、内 exploit ありが 3 件。

 関連:

2023.11.16 追記:

 Azure CLI REST コマンドの情報漏えいの脆弱性 CVE-2023-36052 について:

 不具合情報:

いろいろ (2023.11.15)
(various)

エレコム WAB-S1775 / WAB-M1775-PS / WRC-X3000GS2-W / WRC-X3000GS2-B / WRC-X3000GS2A-B / WRC-2533GHBK2-T / WRC-2533GHBK-I / WRC-1167GHBK / WRC-733GHBK / WRC-733GHBK-I / WRC-733GHBK-C / WRC-300GHBK2-I / WRC-300GHBK / WRH-300WH-H / WRH-300BK2-S / WRH-300WH2-S / WRH-150BK / WRH-150WH / LAN-WH300NDGPE

ASUSTeK RT-AC87U


2023.11.14


2023.11.13

いろいろ (2023.11.13)
(various)

Cisco Firepower Management Center Software


2023.11.11


2023.11.10

追記

2023 年 10 月のセキュリティ更新プログラム (月例) (2023.10.13)

 不具合報告:

  • Windows Server 2022にブルースクリーンエラーの不具合。AMD EPYC環境で発生。KB5031364に起因 (ニッチなPCゲーマーの環境構築Z, 2023.11.09)

    この不具合は、VMware ESXiホスト上で以下の条件を満たしたゲスト仮想マシンにのみ影響します。
    • AMD EPYCの物理プロセッサーを使用
    • 仮想マシンのVMwareの設定で『Expose IOMMU to guest OS』を有効にしている
    • Windows Server 2022で『Enable Virtualization Based Security』が有効になっている
    • Windows Server 2022で『System Guard Secure Launch』が有効になっている

    「Expose IOMMU to guest OS」を無効にすることで回避できるそうです。

いろいろ (2023.11.10)
(various)

Trend Micro Apex One / Apex One SaaS

Atlassian Confluence Data Center and Server

PostgreSQL

EC-CUBE 3.x / 4.x


2023.11.09

追記

Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起 (2023.10.18)

Chrome Stable Channel Update for Desktop
(Google, 2023.11.07)

 Chrome 119.0.6045.123 (Mac / Linux) および Chrome 119.0.6045.123/.124 (Windows) 公開。 1 件のセキュリティ修正を含む。

 関連:


2023.11.08


2023.11.07

いろいろ (2023.11.07)
(various)

Android

OpenSSL

  • OpenSSL Security Advisory [6th November 2023] (OpenSSL, 2023.11.06)。 Excessive time spent in DH check / generation with large Q parameter value (CVE-2023-5678) [Severity: Low] だそうで。 OpenSSL 3.1 / 3.0 / 1.1.1 / 1.0.2 に影響。 Low なので次期リリース時に修正。

    iida さん情報ありがとうございます。


2023.11.06

Chrome Stable Channel Update for Desktop
(Google, 2023.10.31)

 Chrome 119.0.6045.105 (Linux / Mac) および Chrome 119.0.6045.105/.106 (Windows) が stable に。 15 件のセキュリティ修正を含む。

 関連:


過去の記事: 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]