セキュリティホール memo

Last modified: Tue Jan 31 16:40:37 2023 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2023.01.31

追記

Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari) (2022.07.21)

 脆弱性「CVE-2022-22583」と「CVE-2022-32800」に関する技術的な解説 (トレンドマイクロ, 2023.01.23)。macOS の PackageKit に関する欠陥 CVE-2022-32800 について。

Apple 方面 (iOS / ipadOS, tvOS, watchOS, macOS, Safari) (2022.02.02)

 macOS の PackageKit に関する欠陥 CVE-2022-22583 について。


2023.01.30

BIND 方面
(JPRS, 2023.01.26)

 BIND 9.x に 3 件のセキュリティ欠陥。

serve-stale が有効 (デフォルト: 無効)、かつ stale-answer-client-timeout > 0 の場合に発現

Dynamic Update を許可している場合に発現 (デフォルト: 拒否)

 BIND 9.18.11 / 9.16.37 で修正されている。


2023.01.27


2023.01.26

Chrome Stable Channel Update for Desktop
(Google, 2023.01.24)

 Chrome 109.0.5414.119 (Mac / Linux 版) および 109.0.5414.119/120 (Windows 版) 公開。6 件のセキュリティ修正を含む。


2023.01.25

Apple 方面 (iOS / iPadOS, tvOS, watchOS, macOS, Safari)
(Apple, 2023.01.23)

 昨日出てました。

iOS / iPadOS

tvOS

watchOS

macOS

Safari


2023.01.24

いろいろ (2023.01.24)
(various)

PowerDNS Recursor

Wireshark

Drupal


2023.01.23

「Microsoft Edge」で印刷できない問題が解決 ~v109.0.1518.61へのアップデートを  深刻度「Moderate」のの脆弱性も修正
(窓の杜, 2023.01.20)

 印刷不具合の修正の他、Edge 固有のセキュリティ欠陥 CVE-2023-21719 の修正が含まれるそうです。


2023.01.20

追記

Firefox 109.0 / ESR 102.7.0、Firefox for Android 109 公開 (2023.01.18)

 Thunderbird 102.7.0 出ました。ただし、既知の不具合があるため自動更新はされないそうです。

  • Thunderbird 102.7.0 がリリースされた (mozillaZine.jp, 2023.01.20)

    Microsoft 365 の法人アカウントの OAuth2 認証に関する不具合が確認されているため、Thunderbird 102.7.0 への自動アップデートは行われない。この問題の影響を受けるユーザーは、バージョン 102.7.0 へのアップデートは行わず近日中にリリース予定のバージョン 102.7.1 を待つべきである。詳細は「既知の問題」セクションを参照されたい。

2023.01.19

いろいろ (2023.01.19)
(various)

Git

Synology VPN Plus Server

Oracle Critical Patch Update Advisory - January 2023
(Oracle, 2023.01.17)

 Oracle 2023 年第 1 半期定例 patch 出てます。 VirtualBox 6.1.42 / 7.0.6、 Java SE 8u361 / 11.0.18 / 17.0.6 / 19.0.2 など。

 関連:


2023.01.18

JVNVU#99928083 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
(JVN, 2023.01.18)

 Apache 2.4.55 公開。3 件のセキュリティ欠陥を修正。

 iida さん情報ありがとうございます。

Firefox 109.0 / ESR 102.7.0、Firefox for Android 109 公開
(Mozilla, 2023.01.17)

 Thunderbird 102.7.0 はまだみたい。

 Thunderbird 102.7.0 方面:

2023.01.20 追記:

 Thunderbird 102.7.0 出ました。ただし、既知の不具合があるため自動更新はされないそうです。


2023.01.17


2023.01.16


2023.01.13

いろいろ (2023.01.13)
(various)

Intel oneAPI Toolkit

AMD プロセッサー

「Acrobat Reader」や「InDesign」など4つのAdobe製品に致命的な脆弱性
(窓の杜, 2023.01.11)

 Acrobat and Reader、InDesign、InCopy、Dimension。 いずれも Windows / macOS 版両方が対象。 いずれも Priority: 3

 APSB23-02〜06 まで、ごっそり空いている。

追記

Chrome Stable Channel Update for Desktop (2023.01.12)

 Windows 7 / 8.1、Windows Server 2012 / 2012 R2 対応は Chrome 109 までだそうです。

 Edge はどうなるんでしょうね。 …… Edge も同様のようです。

2022 年 12 月のセキュリティ更新プログラム (月例) (2022.12.15)

 Windows 10 用 2022.12 patch (KB5021233) 適用でブルー画面になることがある問題は 2023.01 patch (KB5022282) で修正されたそうです。


2023.01.12

2023 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2023.01.11)

 はい、昨日出てます。まだぜんぜん読めてません。 Windows 7 / 8.1 は今回で終了です。

 今月は Servicing Stack Updates はありません。

 Exchange 方面特記事項:

今月の Microsoft Exchange の更新プログラムを適用すると、多層防御のための新機能である Exchange Server における PowerShell シリアライゼーションペイロードの証明書署名 が追加されます。 Exchange Server 管理者は、この新機能を手動で有効にする必要があります。有効化の手順、および機能の詳細については、 Exchange チームブログ Released: January 2023 Exchange Server Security Updates をご参照ください。

 0-day は 2 件。

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2023.01.10)

 Chrome 109.0.5414.74 (Linux)、Chrome 109.0.5414.74/.75 (Windows)、Chrome 109.0.5414.87 (Mac) が stable に。17 件のセキュリティ修正を含む。Mac 版だけずいぶん離れた番号だなあ。

 iOS 版も出ています: Chrome Stable for iOS Update (Google, 2023.01.10)

2023.01.13 追記:

 Windows 7 / 8.1、Windows Server 2012 / 2012 R2 対応は Chrome 109 までだそうです。

 Edge はどうなるんでしょうね。 …… Edge も同様のようです。


2023.01.11


2023.01.10

いろいろ (2023.01.10)
(various)

Apache Tomcat

Android

「Zoom」「Zoom Rooms」に複数の脆弱性 ~特権昇格やパストラバーサルの欠陥
(窓の杜, 2023.01.10)

 2023.01.06 付で https://explore.zoom.us/en/trust/security/security-bulletin/ にて公開されたもの。 いずれも最新版では修正されている。窓の杜記事には若干誤記があるので注意。


2023.01.06

 あけましておめでとうございます。

パニックに注意:Linux Kernelのksmbdの脆弱性(Critical: CVE-2022-47939, CVE-2022-47940, CVE-2022-47942, Moderate: CVE-2022-47938, CVE-2022-47941)
(SIOS SECURITY BLOG, 2023.01.01 更新)

 Linux kernel 5.15 〜 5.19 の ksmbd に複数の欠陥があり、 remote から無認証で任意のコードを実行できる等の状況が発生する。

 致命的なのは CVE-2022-47939。 Linux kernel 5.15 〜 5.19 系の欠陥なので、該当ディストリはそれほど多くない模様。

 関連:


過去の記事: 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]