セキュリティホール memo

Last modified: Thu Oct 19 20:36:15 2017 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2017.10.19

追記

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)

 ベンダー情報追加: Apple、ELECOM、フルノシステムズ、NEC、TP-Link、ヤマハ。

 ベンダー情報追記: FreeBSD、Red Hat。


2017.10.18

October 2017 Critical Patch Update Released
(Oracle, 2017.10.17)

 Oracle 四半期更新出ました。Java SE は 8u151 / 8u152 と 9.0.1 が公開されています。

Chrome Stable Channel Update for Desktop
(Google, 2017.10.17)

 Chrome 62.0.3202.62 が stable に。35 件のセキュリティ修正を含む。

 関連: 「Google Chrome 62」が正式版に ~HTTP接続のフォームはすべて“非セキュア”扱いへ (窓の杜, 2017.10.18)

いろいろ (2017.10.18)
(various)

Symantec Endpoint Encryption / Symantec Encryption Desktop

Redmine

Infineon 製 RSA ライブラリ

追記

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)

 ベンダー情報を大幅に追加。


2017.10.17

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse
(Mathy Vanhoef, 2017.10.16)

 無線 LAN で広く利用されている WPA2 プロトコルに複数の欠陥。 WPA2 プロトコルの欠陥のため、WPA2 をサポートする無線 LAN 機器全てに影響がある。 前提条件として、攻撃者は AP とクライアントとの間で中間介入 (MITM) 攻撃を実施できる位置にいなければならない。

 CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081 CVE-2017-13082 CVE-2017-13084 CVE-2017-13086 CVE-2017-13087 CVE-2017-13088

 TLS や SSH などで暗号化されている通信はひきつづき保護される。

 対応としては、無線 LAN 機器等のベンダーから対応 patch や対応ファームウェアが公開されるはずなので、それを適用する。

Apple

 Wi-Fiの「WPA2」脆弱性問題、Appleは次期アップデートで対応 (カミアプ, 2017.10.17)。対応版は現在βテスト中。

Aruba

 ARUBA-PSA-2017-007 (Aruba, 2017.10.16)

Buffalo

 無線LAN製品のWPA2の脆弱性について (Buffalo, 2017.10.17)。調査中。

Cisco

D-Link

Debian

 DSA-3999-1 wpa -- security update (Debian, 2017.10.16)

ELECOM

Extreme

 VN 2017-005 - KRACK, WPA2 Protocol Flaw (Extreme, 2017.10.17更新)

フルノシステムズ

Fortinet

FreeBSD

 [FreeBSD-Announce] FreeBSD Security Notice: WPA2 vulnerabilities (FreeBSD, 2017.10.16)。ports の security/wpa_supplicant が対応されたので、 OS 付属のものに換えて使用すれば対応できる。

2017.10.18 追記:

 [FreeBSD-Announce] FreeBSD Security Advisory FreeBSD-SA-17:07.wpa (FreeBSD, 2017.10.16)。SA 出ました。ports の security/wpa_supplicant、 net/hostapd が対応されたので、 OS 付属のものに換えて使用すれば対応できる。

2017.10.19 追記:

 [FreeBSD-Announce] FreeBSD Security Advisory FreeBSD-SA-17:07.wpa [REVISED] (FreeBSD, 2017.10.16)。FreeBSD 10.[34]-RELEASE / 11.[01]-RELEASE 用 patch も出ました。freebsd-update で適用できます。

hostapd / wpa_supplicant

 WPA packet number reuse with replayed messages and key reinstallation (w1.fi, 2017.10.16)。hostapd / wpa_supplicant 2.6 用の patch が公開されている。 hostapd / wpa_supplicant 2.7 では最初から修正されている予定。

IO DATA

Juniper

NEC

Netgear

Red Hat

 KRACKs - wpa_supplicant Multiple Vulnerabilities (Red Hat, 2017.10.17)、 RHSA-2017:2907 (RHEL 7 用)。RHEL 6 用はまだない。

2017.10.19 追記:

 RHEL 6 用出ました: RHSA-2017:2911

Sophos

Synology

 Synology-SA-17:60 KRACK (Synology, 2017.10.16)。SRM 1.1.5-6542-3 以降で対応。

TP-Link

Ubuntu

Watchguard

 WPA and WPA2 Vulnerabilities Update (Watchguard, 2017.10.16)

Windows

 CVE-2017-13080 | Windows Wireless WPA Group Key Reinstallation Vulnerability (Microsoft, 2017.10.16)。2017 年 10 月のセキュリティ更新プログラムで修正されている。

ヤマハ

 「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について (ヤマハ, 2017.10.19 更新)。「WLX402、WLX202、WLX302 の WDS機能を使用している場合」に影響あり。

 関連:

2017.10.18 追記:

 ベンダー情報を大幅に追加。

2017.10.19 追記:

 ベンダー情報追加: Apple、ELECOM、フルノシステムズ、NEC、TP-Link、ヤマハ。

 ベンダー情報追記: FreeBSD、Red Hat。

APSB17-32 - Security updates available for Flash Player
(Adobe, 2017.10.16)

 Flash Player 27.0.0.170 公開。任意のコードの実行を招く 0-day 欠陥 CVE-2017-11292 を修正。 Windows 上で動作する攻略プログラムを確認済。


2017.10.16


2017.10.13


2017.10.12

追記

About the security content of macOS High Sierra 10.13 (2017.09.28)

 SEP 14.1 で対応する予定? SEP 14 RU1 (Symantec)

 あとトレンドマイクロ: Trend Micro Security (for Mac) 3.0 用 macOS High Sierra 10.13 対応モジュール (エージェントビルド 1118) 公開のお知らせ (トレンドマイクロ, 2017.10.12)

2017 年 10 月のセキュリティ更新プログラム (月例) (2017.10.11)

APSB17-31 - Updates available for Flash Player (2017.10.11)

 Windows Update で Flash Player が更新されない件:

  • Flash Player 27 および AIR 27 リリースノート (Adobe)

    Microsoft Edge および Internet Explorer 11 用 Flash Player アップデート
    機能のバグに対処するこの毎月の Flash Player アップデートでは、Windows 8.1 および Windows 10 上の Microsoft Edge および Internet Explorer 用 Flash Player は、「Patch Tuesday」(10 月 10 日)にアップデートされません。このアップデートは、代わりに Microsoft から今月下旬にリリースされます。

2017.10.11

APSB17-31 - Updates available for Flash Player
(Adobe, 2017.10.10)

 Flash Player 27.0.0.159 公開……なのだけど、「This monthly update addresses functionality bugs」となっており、セキュリティ修正は含まれない? 関連:

2017.10.12 追記:

 Windows Update で Flash Player が更新されない件:

2017 年 10 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2017.10.11)

 出ました。関連:

2017.10.12 追記:

 不具合が発生する場合があるようです。

2017.10.18 追記:

 関連:

Wireshark 2.4.2, 2.2.10, and 2.0.16 Released
(Wireshark, 2017.10.10)

 Wireshark 2.4.2 / 2.2.10 / 2.0.16 公開。それぞれ 5 件 / 3 件 / 1 件のセキュリティ修正を含む。


2017.10.10

追記

Firefox 56.0 / ESR 52.4.0 公開 (2017.09.28)

 Thunderbird 52.4.0 出ました。リリースノート「Thunderbird」v52.4.0が正式公開、メーリングリストへの返信に関する仕様を改善 (窓の杜, 2017.10.10)

 Firefox 56.0.1 も出ています。リリースノート。セキュリティ修正はありません。

変更点 64 ビット版 Windows 上で 32 ビット版 Firefox を使用している場合、安定性やセキュリティの高い 64 ビット版 Firefox へ自動的に移行されます。

 手元の 32bit 版 Firefox 56.0 が 64bit 版 56.0.1 に自動移行されたことを確認した。


2017.10.09

Apache HTTP Server 2.4.28 Released
(Apache.org, 2017.10.05)

 Apache HTTP サーバー 2.4.28 公開。 セキュリティ欠陥 1 件 (CVE-2017-9798Optionsbleed の件) を修正。 2.4.27 用の patch も公開されている。iida さん情報ありがとうございます。

追記

About the security content of macOS High Sierra 10.13 (2017.09.28)

 ESET の情報を追加。 あと、macOS High Sierra 10.13 Supplemental Update が 2017.10.05 付で公開されました。 Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ (ITmedia, 2017.09.26) も修正されたようです。

 macOS 10.12 以前がひきつづき更新されるのかどうかが問題なのだが、よくわからない。


2017.10.06

いろいろ (2017.10.06)
(various)

Android 月例セキュリティ修正

Dnsmasq

Linux カーネル (CVE-2017-1000253)


2017.10.05

追記

Apache Tomcat における脆弱性に関する注意喚起 (2017.09.25)

 7.0.82 / 8.0.47 も公開されてました。iida さん情報ありがとうございます。


2017.10.04

追記

Apache Tomcat における脆弱性に関する注意喚起 (2017.09.25)

 CVE-2017-12617 について対象範囲が確定、7.0.82 / 8.0.47 / 8.5.23 / 9.0.1 で修正 (7.0.82 / 8.0.47 は未リリース)。

CVE 欠陥のある Tomcat 概要 修正済 Tomcat
CVE-2017-12617 7.0.x / 8.0.x / 8.5.x / 9.0.x (Windows 版に限らない) HTTP PUT が有効な場合 (デフォルト無効) に、攻略リクエストによって remote から JSP ファイルのアップロードが可能。これにより任意のコードを実行される。 7.0.82 / 8.0.47 / 8.5.23 / 9.0.1

 参照:


2017.10.03


2017.10.02

追記

ICANNがルートゾーンKSKロールオーバーの実施延期を発表 (2017.09.28)

 「最近の調査」の内容らしい:


過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]