セキュリティホール memo

Last modified: Thu Jan 24 18:51:54 2019 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2019.01.24

いろいろ (2019.01.24)
(various)

SCP (OpenSSH), PSCP (PuTTY), WinSCP

Marvell Avastar Wi-Fi

Ethereum Constantinople

追記

2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)

 Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。


2019.01.23

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows)
(Apple, 2019.01.22)

 今回は watchOS も同時に更新されています。

Changes with Apache 2.4.38
(Apache.org, 2019.01.22)

 Apache httpd 2.4.38 公開。3 件のセキュリティ欠陥 (mod_session CVE-2018-17199, mod_http2 CVE-2018-17189, mod_ssl CVE-2019-0190) が修正されている。 iida さん情報ありがとうございます。

 関連: Apach HTTP Server の脆弱性情報(Important: (mod_ssl) CVE-2019-0190 , Low: (mod_session_cookie) CVE-2018-17199) (SIOS, 2019.01.23)

Remote Code Execution in apt/apt-get
(Max Justicz, 2019.01.22)

 apt/apt-get に欠陥。HTTP リダイレクトの処理に欠陥があり、remote から任意のコードを実行できる。CVE-2019-3462

 以下のように実行することで HTTP リダイレクトを無効化でき、本欠陥を回避できる。

$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false

 各 Linux ディストリビューターから修正パッケージが配布されている。


2019.01.22

追記

Firefox 64.0 / ESR 60.4.0 公開 (2018.12.14)

 Thunderbird 60.4 が出たようです。

顧客情報、令状なく取得 検察、方法記すリスト共有
(共同 / 中日, 2019.01.04)

 捜査関係事項照会の件。

 捜査関係事項照会は、捜査当局が独自に企業側に出す要請にすぎず、捜査に必要かどうか外部のチェックは働かない。取得後の使用方法なども不明で漏えいリスクもある。当局への提供は顧客本人に通知されない。

 検察が作成した「捜査上有効なデータ等へのアクセス方法等一覧表」を共同が入手。

 入手したリスト「捜査上有効なデータ等へのアクセス方法等一覧表」によると、顧客情報は公共交通機関や商品購入の履歴、位置情報といった個人の生活に関わるもので計約三百六十種類。(中略) 捜索差し押さえ許可状などの令状が必要と明示しているのは二十二種類だけ。残りの大半は捜査関係事項照会などで取得できるとしている。

 「一覧表」には「約二百九十団体」の名前があったそうで。

 対象に挙げられた企業は、主要な航空、鉄道、バスなど交通各社やクレジットカード会社、消費者金融、コンビニ、スーパー、家電量販店などさまざま。買い物の際に付与され、加盟店で使用できるポイントカードの発行会社や、携帯電話会社も含まれている。
 入手可能とされた情報は、ICカードなどの名義人や使用履歴に加え、カード作成時に提出された運転免許証などの写し、顔写真も含まれる。リストにあるドラッグストアやレンタルビデオ店、書店の購入情報を加えれば、対象者の健康状態や思想信条、趣味嗜好(しこう)を把握することも可能だ。

 当該の「一覧表」の写真が、検察、顧客情報入手方法リスト化  290団体分保有 (福井新聞) などにある。 雰囲気しかわからないが。

 で、共同はその「約二百九十団体」にアンケートを取ったそうで。

 共同は取材を進め、スマホゲーム運営会社から位置情報が漏れていたり、

 ポイントカード会社からさまざまな情報が漏れていたりを報道しています。

 T カード運営の CCC は、2012 年からユルユルにしましたと告白。

 他の会社は?

 ショボい……。

 関連:


2019.01.21

Android版「Twitter」アプリで意図せず“鍵”が外れる不具合 ~4年以上前から
(窓の杜, 2019.01.21)

 これは怖い。不具合でした、では済まんだろ。

この不具合の影響を受けるのは2014年11月3日から2019年1月14日までの間に、登録しているメールアドレスなど、アカウントに関する設定をAndroid版「Twitter」アプリで変更したユーザー。iOS版「Twitter」アプリや“twitter.com”に影響はない。

 「影響を受けるのは」ではなく、影響を受けた可能性があるのは、のようですが、当該事象がどのくらいの割合で発生したのかといった詳細は不明。


2019.01.18

追記

これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? (2018.11.30)

 知らないってのは恐い - DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) (インターノット崩壊論者の独り言, 2019.01.17)。 DNS温泉 番外編(2019年2月) において、解説とデモが行われるそうです。


2019.01.17


2019.01.16

Oracle Critical Patch Update Advisory - January 2019
(Oracle, 2019.01.15)

 Oracle 四半期定例出ました。 Java SE は 8u201/202 と 11.0.2 LTS が出ています。 VirtualBox は 6.0.2 と 5.2.24 が出ています。

 そういえば Amazon Corretto はどうなっているのかなと思って見てみたら、 8u192 の preview2 が最新のようで。 Change Log for the Amazon Corretto 8 Preview (AWS)


2019.01.15


2019.01.11

追記

2019 年 1 月のセキュリティ更新プログラム (月例) (2019.01.09)

 適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。


2019.01.09

いろいろ (2019.01.09)
(various)

Wireshark

2019 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2019.01.09)

 出ました。IE / Edge, Windows, Office, ChakraCore, .NET Framework, Flash Player, ASP.NET, Exchange, Visual Studio。 以下、セキュリティ更新プログラム ガイド から拾ったもの:

IE

Edge

Windows

Windows カーネル

Windows Hyper-V

Jet データベース エンジン

Office

Skype for Android

CakraCore

.NET Framework

Flash Player

ASP.NET

Exchange

Visual Studio

 あと、たとえば January 8, 2019—KB4480116 (OS Build 17763.253) (Windows 10 version 1809) を見ると、Known issues として

After installing this update, third-party applications may have difficulty authenticating hotspots.

なんてのが出ているのだが、どのくらいの頻度で影響するものなのか不明。

2019.01.11 追記:

 適用すると、Windows 7 / Server 2008 R2 でネットワークがつながらなくなることがある模様。

2019.01.24 追記:

 Windows 7 / Server 2008 R2 では、他にも不具合が発生していたようで。

Security updates available for Flash Player | APSB19-01
(Adobe, 2019.01.08)

 Flash Player 32.0.0.114 公開。セキュリティ修正は含まれていない、とされている。 Priority: 3。


2019.01.08

 明日は Windows Update 配信日です。

追記

2018 年 12 月のセキュリティ更新プログラム (月例) (2018.12.12)

いろいろ (2019.01.08)
(various)

Android 版 Skype

2019.01.09 追記:

Windows MsiAdvertiseProduct 関数

横河電機 Vnet/IP オープン通信ドライバ

Django

Apache Tika

Apache NetBeans

Apache Karaf

Apache Thrift

ファイルシステムドライバ Dokany


2019.01.07

追記

Prenotification Security Advisory for Adobe Acrobat and Reader | APSB19-02 (2018.12.28)

 出てます: Security Bulletin for Adobe Acrobat and Reader | APSB19-02 (Adobe, 2019.01.03)。Zero Day Initiative からの 2 件を修正。

種別 更新版
Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.010.20069
Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30113
Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30464

 関連:


過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]