![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Tue Jul 17 18:54:31 2018
+0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード:
http://goo.gl/pwSG.qr
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 運動部のみんな、熱中症「無理」「もうダメだ」の勇気を (中小路徹 / 朝日, 7/14)
日本スポーツ協会はこのWBGTが25~28度になると「積極的に水分、塩分を補給する」、28~31度だと「激しい運動や持久走は中止」という指標を出しています。そうした状況では練習には細心の注意が必要なのですが、正しい知識を持たず、認識が甘い先生がいるのが事実です。
まずは甲子園で、WBGT をリアルタイム計測・リアルタイム表示・リアルタイム警告すればよいのでは。 関連:
暑さ指数(WBGT)の詳しい説明 (環境省)
暑さ指数(WBGT)の実況と予測 (環境省)
WBGT指数による暑熱環境評価と,電子式WBGT測定器のJIS化について (労働安全衛生総合研究所)
サッカーW杯決勝に乱入のパンクバンドメンバーに禁錮刑 (AFPBB, 7/17)
》 日本人は礼儀もアップデートできていない。礼儀2.0世代が感じる「相手の時間を奪う」非効率なマナー (西山 里緒、伊藤 有 / Business Insider, 7/9)
GOROmanさんによると「礼儀1.0」は相手のために自分がいかに時間を使ったかに価値がおかれる。 (中略) 一方で「礼儀2.0」はいかに相手の時間を奪わないかが重要だという。
可処分時間は常に枯渇しているからなあ。
》 電車内に設置されている「非常ボタン」押すとどうなるの? (Excite, 2012.11.30)
》 【特集】90%もカット“超節水ノズル” 東大阪の技術に世界が注目 (MBS / Yahoo, 7/16)
》 デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に (スラド, 7/14)
》 新MacBook Proのキーボードが静音化したのは埃侵入対策の副作用? (スラド, 7/16)
2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)
今回の更新プログラムにはいくつか不具合があったようで、対応の更新プログラムが公開されているものがあります。例:
| Windows 7 SP1 / Server 2008 R2 SP1 |
|
| Server 2012 |
|
| Windows 8.1 / Server 2012 R2 |
|
| Windows 10, version 1803 |
|
》 【選挙ウォッチャー】 総理大臣以下、日本の大臣たちがことごとく使えない件。 (チダイズム / note, 7/15)
》 【特別寄稿】「西日本豪雨災害は歴代自民党政権の人災だ」! 河川政策の専門家で日本初の流域治水条例をつくった嘉田由紀子・前滋賀県知事インタビュー(ジャーナリスト・横田一) (IWJ, 7/15)
滋賀県知事になる頃から『矢板(注1)やコンクリートで周りを囲むアーマーレビー工法で鎧型堤防(注2)にして補強すべき』と国に提案して来ましたが、歴代の自民党政権は『鎧型堤防は当てにならない。堤防補強よりもダム建設だ』と言って来た。この優先順位による河川政策が今回の豪雨災害でも大きな被害をもたらした」。
》 サイランス、エンドポイント保護「CylancePROTECT」をクローズド環境などで運用するためのオプション製品を提供 (三柳 英樹 / クラウド Watch, 7/12)
機械学習によるエンジンを利用するため、インターネットに接続されていない端末などでも利用できる点が特徴となっているが、管理コンソールはクラウドで提供されているため、インターネット接続が限定的またはクローズドな環境の場合、管理面に課題があった。
これまでオンプレ対応の管理ツールがなかったのだそうで。 むしろ、そういう環境でこそ使いたいような製品だと思っていたのだが。
CylanceHYBRID: 一部のシステムが外部と通信可能な環境用。 CylanceHYBRID が cache/proxy サーバーとして動作する。 追加費用不要。
CylanceON-PREM: 完全クローズド環境用。 追加費用必要。
関連: Cylanceがオンプレミス向けの管理オプション出す理由 (ascii.jp, 7/14)。
》 オウム真理教の痕跡をクリミアで見た。今もロシアに残る麻原彰晃の幻影 (関根和弘 / ハフポスト, 7/11)
》 プッシー・ライオット、サッカー・ワールドカップロシア大会決勝戦で「Policeman enters the Game」を実施
pussy riot さんのツイート:
NEWS FLASH! Just a few minutes ago four Pussy Riot members performed in the FIFA World Cup final match — ”Policeman enters the Game”https://t.co/3jUi5rC8hh pic.twitter.com/W8Up9TTKMA
— 𝖕𝖚𝖘𝖘𝖞 𝖗𝖎𝖔𝖙 (@pussyrrriot) 2018年7月15日
UPDATED VIDEO "Policeman enters the Game" — "Полицейский вступает в Игру"! Please don't forget to turn on subtitles if you need English. https://t.co/8uSMSIe9K6
— 𝖕𝖚𝖘𝖘𝖞 𝖗𝖎𝖔𝖙 (@pussyrrriot) 2018年7月16日
Men in Blazers さんのツイート:
THIS. ALL THIS 🙌 pic.twitter.com/tOtCx39owk
— Men in Blazers (@MenInBlazers) 2018年7月15日
Pussy Riot Rushes the Field at the World Cup (VOGUE, 7/16)
Pussy Riot Members Detained After Running Onto the Field in World Cup Final, Police Say (NYTimes, 7/15)
Pussy Riot claim responsibility for World Cup final pitch invasion - video (Guardian, 7/15)
ワールドカップの決勝戦で乱入した男女は、あの有名なグループだった (関根和弘 / ハフポスト, 7/15)
ワールドカップ決勝に乱入したプッシー・ライオットとは? 「黒幕」のインタビューから迫る (関根和弘 / ハフポスト, 7/15)
pussy riot が何者なのか知らない報道の例:
ロシアW杯 決勝に水を差す愚行 男女4人が乱入 (毎日, 7/16) (archive.is)
時事通信さんのツイート (サポーターではありません) (ツイート削除されたようで):
【サッカーW杯・決勝】後半、乱入するサポーター(左から2人目)です。15日、ロシア・モスクワ。#WorldCupFinal #W杯決勝 pic.twitter.com/nJ5qkdfk6y
— 時事通信映像ニュース (@jiji_images) 2018年7月15日
後で気づいたらしい記事: サッカーW杯決勝、乱入で一時中断=反体制派バンド (時事, 7/16)
「ゆがめられた行政」の現場へ—獣医学部新設の「魔法」 (早稲田大学法学部 水島朝穂, 7/9)
関連: 加計獣医学部 図書館に本のない大学の設置認可は前代未聞 (高野孟 / 日刊ゲンダイ, 7/12)
岡山・加計学園 獣医学部新設問題 首相、疑惑一掃至らず 加計氏会見と矛盾 参院予算委 (毎日, 6/26)。6/25 参議院予算委員会の記事。
「加計学園」問題を時系列で振り返る 坂東太郎のよく分かる時事用語 (THE PAGE, 7/4)
岡山・加計学園 獣医学部新設問題 理事長、再会見予定なし (毎日, 7/5)。7/4 に見解発表。
岡山・加計学園 獣医学部新設問題 理事長会見 知事「責任果たして」 /愛媛 (毎日, 7/6)
愛媛県議会「加計学園、説明責任果たせ」全会一致で採択 (朝日, 7/12)。採択したのは 7/11。
文科白書、教員の働き方改革特集 「加計」は数行だけ (日経, 7/13)
》 Chrome が非 HTTPS サイトに「保護されていません」と表示、2018 年 7 月下旬開始予定 (トレンドマイクロ セキュリティ blog, 7/10)
》 Twitterが「ロックされたアカウント」をフォロワー数から除くと発表、フォロワーが大幅に減少するアカウントがある可能性も (gigazine, 7/12)。実際に実施された模様です。
》 コラボレーション・プラットフォームについて(第2回開催のご案内) (IPA, 7/11)。2018.07.23、東京都文京区、たぶん無料。ただし個人参加は不可。
》 無料セキュリティソフト「Sophos Home」日本語版の提供開始 (Internet Watch, 7/10)
》 WSUS 上に配信が必要な更新プログラムが同期されてこない!と思ったら (Japan WSUS Support Team Blog, 7/12)
また出ました。
TLBleed (VUSec)。 Black Hat USA 2018 で発表される予定: TLBleed: When Protecting Your CPU Caches is Not Enough (Black Hat)
Intel CPUの脆弱性「TLBleed」は修正困難 - OpenBSD開発者 (後藤大地 / マイナビニュース, 2018.06.26)
インテルのCPUに新たな脆弱性「TLBleed」--インテルは有効性を否定 (ZDNet, 2018.06.27)
Temporal side-channels and you: Understanding TLBleed (Red Hat, 2018.06.28)
TLBleed : Trasnlation Leak-aside Buffer の論文を読む (FPGA開発日記, 2018.07.13)
VMSA-2018-0017 - VMware Tools update addresses an out-of-bounds read vulnerability (VMware, 2018.07.12)。Windows 版 VMware Tools 10.x 以前に欠陥、10.3.0 で対応。 CVE-2018-6969
SMTP send heap buffer overflow (cURL, 2018.07.11)。cURL 7.54.1〜7.60.0 に欠陥、7.61.0 で対応。 CVE-2018-0500。patch。
JVNVU#92683062 - Kea にサービス運用妨害 (DoS) の脆弱性 (JVN, 2018.07.13)。Kea DHCP server 1.4.0 固有の欠陥、1.4.0-P1 で修正。 CVE-2018-5739
CVE-2018-5739: ISC Kea 1.4.0 failure to release memory may exhaust system resources (ISC, 2018.07.11)
JVN#55813866 - Explzh におけるディレクトリトラバーサルの脆弱性 (JVN, 2018.07.13)。Explzh Ver.7.58 以前の欠陥、7.59 で対応。 最新は 7.60。 ダウンロード。
2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)
関連:
Windows DNSの脆弱性情報が公開されました(CVE-2018-8304) (JPRS, 2018.07.12)
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2018 年 7 月 今月は、53 個のパッチがリリースされており、そのうち 17 件が「緊急」レベルです。 (シマンテック, 2018.07.11)
いろいろ (2018.07.09) Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N
WG1200HP, W300P, HC100RC についてより詳細な情報が開示された模様:
JVN#00401783 - Aterm WG1200HP における複数の OS コマンドインジェクションの脆弱性 (JVN, 2018.07.12)
JVN#84825660 - Aterm HC100RC における複数の脆弱性 (JVN, 2018.07.12)
JVN#26629618 - Aterm W300P における複数の脆弱性 (JVN, 2018.07.12)
Atermシリーズに複数の脆弱性 (NEC, 2018.07.12)
他の奴も似たりよったりということなんですかねえ。
》 出版業界が軽減税率の適用目指して「有害図書排除」へ 「何を以て『有害』指定するのか。何がエロになるのか不明」と懸念する声も (キャリコネニュース, 7/10)。出版業界が「有害図書」を規定するのだそうで。 アホか。
》 平成30年版情報通信白書による、日本人はソーシャル全然利用してないの図とその理由 (More Access! More Fun!, 7/9)
日本人は他国の人と比べ、異様なほど
ソーシャルで知り合った人を信頼せず
ソーシャル以外のネットで知り合った人を信用せず
そもそも他人を全く信用しない
ということが分かる。これの根底にあるのが、日本人の特性として
そもそも他人を見定める能力がないと感じる
があるのがわかる。各国の人たちは8割方「自分は信用できる人かどうかだいたい分かる」と回答するのに、日本人は4割もいない。これ、日本がグローバル化についていけない最大の問題のような気がします。
もしかして: アベ氏の支持率が高止まりなのも、同じ理由かなあ。
》 信頼性の低い陸自の無人偵察機が訓練中に行方不明 (清谷信一 / BLOGOS, 2016.06.24)
》 Windows Server 2016 で Windows Error Reporting (WindowsUpdateFailure) が多量に出力される (Japan WSUS Support Team Blog, 7/11)
》 更新プログラムのインストール処理を改善するサービススタック更新プログラムについて (Ask CORE, 7/12)
Windows 10, Windows Server 2016 では累積更新プログラムという仕組みが採用され、多くの修正が一つの更新プログラムにパッケージされました。また過去の月の分も累積的に修正を含むようになったため、最新の累積更新プログラムを適用するだけで必要な修正が網羅的に反映されるようになっています。しかし、累積更新プログラムに含まれない OS の修正というのが例外としてあり、サービス スタックの更新プログラムが該当しますので、累積更新プログラムとは別に適用が必要です。
》 東京五輪期間中は「ネット通販ひかえて」 前回はなかった混雑リスク、協力呼びかけ (オリコンニュース, 7/9)。関連:
SOW@6/1新刊八巻発売!さんのツイート:
「オリンピックのために、ネット通販控えて」という意見に、連想したのはまっさきにコレだった。 pic.twitter.com/2H7M4ghnU5
— SOW@6/1新刊八巻発売! (@sow_LIBRA11) 2018年7月10日
》 「Officeはいらないから安くして」Surface Go日本発売で落胆の声 (techwave, 7/11)。ほんとそれ。
関連: 【Surface Go を発表】やりたいことが、軽がるできる「Surface Go」を、明日 7 月 12 日(木)予約開始、8 月 28 日(火)発売 (Windows Blog for Japan, 7/11)
一般向けモデルには、Office Home & Business 2016 を搭載しています。法人向けモデル、教育機関向けモデルは Office 非搭載です。
なんじゃそりゃ。
障害・メンテナンス情報 (Zenlogic)。結局、「6月19日より一部のお客様で発生している高負荷障害」については 7/10 11:00 に対応完了した、という理解でいいのだろうか。 何度読んでもよくわからない。
【お詫び】HPメンテンナンスについて (大森ペット霊園, 7/10)
長年使用していましたサーバーでありますが、今回まで二度の不祥事事件があったこともあり、サーバー会社を変更させていただくことに決定しました。
BIND・Knot Resolver・Unbound・PowerDNS Recursor における、EDNS に対応しない/できない機器への回避策の実装を、2019.02.01 以後はもうやめる (削除する) そうです。 堪忍袋の緒が切れた、という感じでしょうか。
とりあえず、https://dnsflagday.net/ を見ながらテストするのが吉のようです。
Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)
Apple Boot Camp が 6.4.0 で対応されました:
About the security content of Wi-Fi Update for Boot Camp 6.4.0 (Apple, 2018.07.05)
Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15)
Security updates available for Adobe Acrobat and Reader | APSB18-09 ですが、2018.05.25 付の変更で、Track 名称が Consumer から Continuous に改訂されていました。
出ました。IE / Edge, Windows, Office, SharePoint, ChakraCore, Flash Player, .NET Framework / ASP.NET, Microsoft Research JavaScript Cryptography Library, Skype for Business / Lync, Visual Studio, Wireless Display Adapter V2, PowerShell Editor Services / Extension for Visual Studio Code, Web Customizations for Active Directory Federation Services。多いね!
EMET は 2018.07.31 でいよいよサポート終了だそうです。 手元の Windows 7 機の移行作業も実施しないと……。
関連:
リリース ノート: 2018 年 7 月のセキュリティ更新プログラム (Microsoft, 2018.07.11)
2018年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2018.07.11)
関連:
Windows DNSの脆弱性情報が公開されました(CVE-2018-8304) (JPRS, 2018.07.12)
マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2018 年 7 月 今月は、53 個のパッチがリリースされており、そのうち 17 件が「緊急」レベルです。 (シマンテック, 2018.07.11)
今回の更新プログラムにはいくつか不具合があったようで、対応の更新プログラムが公開されているものがあります。例:
| Windows 7 SP1 / Server 2008 R2 SP1 |
|
| Server 2012 |
|
| Windows 8.1 / Server 2012 R2 |
|
| Windows 10, version 1803 |
|
》 Firefoxアカウントで保存したパスワードをiPhoneで安全・快適に同期できるアプリ「Firefox Lockbox」 (gigazine, 7/11)
》 BIND 9.xのゾーン転送における巨大なゾーンデータの取り扱いの不具合について (JPRS, 7/10)。「巨大」が何を意味するのか不明確なのだが、「BIND 9.xのほとんどのユーザーは本件の影響を受けない」ような「巨大」であるようだ。
》 Windows Server 2016 の SRV レコードが重複する事象について (Ask the Network & AD Support Team, 7/11)
予め Windows Server 2016 のホスト名を全て小文字とした状態でドメイン コントローラーに昇格することで本事象は発生しませんが、既に本事象が発生している環境においては以下の手順でホスト名を小文字に変更して再昇格を実施ください。
関連: Windows Server 2016 Reverse DNS Registration Behavior (Ask Premier Field Engineering (PFE) Platforms, 6/18)
Adobe 方面出てました。Priority は 2 (Linux 用 Flash Player だけ 3)。
Security Bulletin for Adobe Acrobat and Reader | APSB18-21 (Adobe, 2018.07.10)。セキュリティ修正多数、CVE 番号がずらずらっと並んでいるぞ。
| 種別 | 更新版 |
|---|---|
| Acrobat DC / Acrobat Reader DC (Continuous Track) | 2018.011.20055 |
| Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) | 2017.011.30096 |
| Acrobat DC / Acrobat Reader DC (Classic 2015) | 2015.006.30434 |
Security updates available for Adobe Connect | APSB18-22 (Adobe, 2018.07.10)。3 件のセキュリティ欠陥を修正。
Security updates available for Adobe Experience Manager | APSB18-23 (Adobe, 2018.07.10)。3 件のセキュリティ欠陥を修正。
Security updates available for Flash Player | APSB18-24 (Adobe, 2018.07.10)。Flash Player 30.0.0.134 公開。2 件のセキュリティ欠陥を修正。
関連:
Adobe Reader および Acrobat の脆弱性 (APSB18-21) に関する注意喚起 (JPCERT/CC, 2018.07.11)
Adobe Flash Player の脆弱性 (APSB18-24) に関する注意喚起 (JPCERT/CC, 2018.07.11)
Apple 方面出てました。
About the security content of iOS 11.4.1 (Apple, 2018.07.09)
About the security content of tvOS 11.4.1 (Apple, 2018.07.09)
About the security content of watchOS 4.3.2 (Apple, 2018.07.09)
About the security content of macOS High Sierra 10.13.6, Security Update 2018-004 Sierra, Security Update 2018-004 El Capitan (Apple, 2018.07.09)
About the security content of Safari 11.1.2 (Apple, 2018.07.09)
About the security content of iCloud for Windows 7.6 (Apple, 2018.07.09)
About the security content of iTunes 12.8 for Windows (Apple, 2018.07.09)
関連:
最新のiOS 11.4.1で追加されたUSBアクセサリの制限モードによりiPhoneはよりセキュアに (gigazine, 2018.07.10)
iOS 11.4.1では地域設定が中国のiPhoneに「台湾の旗」絵文字を送り処理させることでアプリをクラッシュさせられる不具合が修正。 (AAPL Ch., 2018.07.11)
ClamAV 0.100.1 公開。セキュリティ修正 3 件を含みます。
》 Yahoo!地図に東海~九州北部エリアの「インターナビ通行実績情報マップ」を公開 (Honda, 7/9)
関連: NEXCO西日本、高速道路を無料開放 集中豪雨による通行止め迂回路として一部区間で実施 (ねとらぼ, 7/9)
》 「平成30年7月豪雨」と命名 (tenki.jp, 7/9)。関連:
平成30年7月豪雨について (首相官邸)。非常災害対策本部を 7/8 08:00 になってようやく設置。 ただし、 平成30年7月豪雨非常災害対策本部会議(第1回) で安倍総理が冒頭挨拶しているので誤解しやすいが、 本部長は小此木八郎防災担当相である。 本事象の甚大さ・広さを考えたら、緊急災害対策本部 (本部長: 内閣総理大臣) に格上げすべきだと思うがなあ。
首相 欧州歴訪を中止 豪雨被災地の視察検討 (毎日, 7/9 15:49)。ようやくですか。
平成30年台風第7号及び前線等による被害状況等について (国土交通省)
荻上チキさんのツイート:
広島県警による広報ビラ。災害のたびに流言デマが流れますが、代表的なものに「犯罪流言」があります。「他県ナンバー」「外国人窃盗団」といったものがテンプレです。一般的な注意喚起は必要ですが、ツイートすることにより不要な問い合わせや通報を増やしたり、差別や恐怖を煽ることにもなります。 pic.twitter.com/iin9FXsDqD
— 荻上チキ (@torakare) 2018年7月9日
》 欧州議会、「リンク税」導入など含むEU著作権指令の改正案を否決 (CNET, 7/6)、 欧州ネット民が大反発の「リンク税」導入案否決で、安堵の声 (Forbes, 7/6)
》 最大2000万ユーロ(約26億円) セキュリティ対策を怠ると罰金──実はGDPR級に重要なEUの「NIS指令」 (TechTarget, 7/6)
》 ファーストサーバのホスティングサービス Zenlogic、不具合継続中 (6/19〜)。 7/6 20:00〜 に全面停止を伴うメンテナンスを実施したが、いまだ解決せず。 紅のTaka さん情報ありがとうございます。
Zenlogicホスティングが断続的にご利用しづらい状況について (ファーストサーバ, 7/9)。この文章だと、全面停止を伴うメンテナンスは 7/9 08:00 に終了したことになっているのだが。
障害・メンテナンス情報 (Zenlogic)。実際には、まだ止まっているっぽい。
ファーストサーバの「Zenlogic」全面停止3日間続く 再開は「未定」に (ITmedia, 7/9)
障害発生中のZenlogicが金曜の夜に全サービスの60時間メンテナンスを通達して7分後に全停止!サーバ管理者の阿鼻叫喚の様子 (togetter, 7/7)
ファーストサーバのレンタルサーバ「Zenlogic」、金曜夜からの全面サービス停止が解けず、いまだ停止中。ストレージ障害のためのメンテナンスで (Publickey, 7/9)
ファーストサーバは自社でインフラを持たず、ZenlogicはYahoo! JapanもしくはAWSのいずれかのインフラの上にファーストサーバがサービスを構築するアーキテクチャを採用しています。(中略) 今回障害が発生しているのはYahoo! Japanのインフラ上に構築されているZenlogicと見られます。そのため、原因究明と対策も同社と連係して行っていることをファーストサーバは明らかにしています。
Zenlogic システム障害・メンテナンスで接続できたサイト・できなかったサイト (pmakino.jp, 7/8)
同じ YAHOO-JP2-CIDR-BLK-JP の IP でも 210.〜 のものは問題なく 154.34.〜 のものが NG らしい。(ただしニフレルに限っては 210.〜 だが NG)
ファーストサーバの「Zenlogicホスティング」で大規模障害が発生中 (クラウド Watch, 7/9)
影響サイト事例
なお、ウェブサーバーもZenlogicの障害のためアクセスしていただくことができません。御迷惑をおかけします。
— 一般財団法人ソフトウェア情報センター (SOFTIC) (@SOFTIC_JP) 2018年7月9日
当社サーバー管理会社で不具合が発生している件について、7月9日AM8時復旧見込みでしたが、未だメンテナンスの状況が続いております。ご迷惑をおかけしております。
— エレコム(公式) (@elecom_pr) 2018年7月9日
当社としては、まず製品ドライバダウンロードページを復旧すべく、現在仮設ページを構築中です。もう少々お待ちください。
【平成30年7月9日11:10現在】現在、サーバー障害により、弊社Webサイト及び弊社のお問い合わせメールが利用できない状態となっております。ご利用のお客様には長期間にわたり大変ご迷惑をおかけしておりますことを、深くお詫び申し上げます。
— Caty (@Caty_YCAT) 2018年7月9日
【お知らせ】現在、レンタルサーバー障害により、当社のホームページの閲覧およびメールの送受信ができない状況が続いております。サーバーを提供しているファーストサーバー㈱にてメンテナンス作業を実施しておりますが、終了時間は未定とのことでございます。
— 長野電鉄運行情報【公式】 (@u_nagaden) 2018年7月8日
【お知らせ】
— NIFREL(ニフレル)公式 (@NIFREL_official) 2018年7月9日
本日7月9日(月)は通常通り10時より営業いたします。
なお、契約サーバーの障害により、ホームページが閲覧できない状態です。申し訳ございません。
お問い合わせは、お手数ですがお電話にてお願いいたします。
ニフレルインフォメーション
0570-022060(ナビダイヤル)
》 Upcoming Security Updates for Adobe Acrobat and Reader (APSB18-21) (Adobe, 7/5)。明後日 (日本時間) です。
》 スカジョがトランスジェンダー役に→トランス女優らから批判→トランス女優に死の脅迫 (石壁に百合の花咲く, 7/7)
サンダース監督は『ゴースト・イン・ザ・シェル』(2017年)で原作ではアジア人女性という設定だった主役をスカーレット・ジョハンソンにやらせ、ホワイトウォッシングだとして批判を受けていた人。つまり、同じ組み合わせのペアが、またしてもマイノリティの役をマジョリティの役者が持っていくというかたちで映画を撮るということになります。
》 Sysmon v8.0, Autoruns v13.90 (Sysinternals Site Discussion, 7/5)
Aterm製品における不正アクセスに対するセキュリティ向上について (aterm, 2018.06.28)。「悪意ある第三者からのAtermに対する不正アクセスがあった場合に、 本製品の設定変更、再起動、意図しない動作が発生する可能性」があるそうで。詳細はさっぱりわからない。 対応ファームウェアのリリース日は以下のとおり:
HC100RC: 2018/06/28 W1200EX / W1200EX-MS: 2017/11/10 W300P: 2017/11/30 W500P: 2017/11/30 WF300HP2: 2017/11/30 WF800HP: 2018/06/28 WG1200HP: 2017/11/30 WG1200HP2: 2018/06/28 WG1200HS: 2017/09/28 WG1200HS2: 2018/06/28 WG1900HP: 2018/04/02 WR8165N: 2017/11/30
WG1200HP, W300P, HC100RC についてより詳細な情報が開示された模様:
JVN#00401783 - Aterm WG1200HP における複数の OS コマンドインジェクションの脆弱性 (JVN, 2018.07.12)
JVN#84825660 - Aterm HC100RC における複数の脆弱性 (JVN, 2018.07.12)
JVN#26629618 - Aterm W300P における複数の脆弱性 (JVN, 2018.07.12)
Atermシリーズに複数の脆弱性 (NEC, 2018.07.12)
他の奴も似たりよったりということなんですかねえ。
Knot Resolverの脆弱性情報が公開されました (JPRS, 2018.07.05)。Knot Resolver 2.4.0 で修正されているようです。
LTE通信で中間者攻撃を実現する「aLTEr」 ~商用LTEでDNSスプーフィングを実現 (PC Watch, 2018.07.02)
セキュリティ修正は次の件のようです。
バージョン 4.9.6 以前の WordPress は、特定の権限を持つユーザーが uploads ディレクトリ外のファイルを削除できてしまう可能性のあるメディアの問題の影響を受けます。
これに加えて 17 件の不具合修正が含まれるそうです。
》 産経調停は不成立に (植村裁判を支える市民の会, 7/3)、 植村氏と産経、調停不成立 (朝日, 7/3)
》 Wikipediaのスペイン語イタリア語ポーランド語ページがEU議会の著作権改定に抗議して黒塗りに (techcrunch, 7/5)。関連:
Wikipedia イタリア語版よりブラックアウトのお知らせ (P2P とかその辺のお話 R, 7/5)
Wikipediaはなぜリンク税と著作権フィルタに反対しているのか (P2P とかその辺のお話 R, 7/5)
欧州連合で新たに提案されている著作権パッケージは、自由な情報共有という基本的権利に対する脅威である。今こそ、声を上げよう。
EU立法委員会が「インターネット破壊」指令案を可決、今こそ声を上げよう (P2P とかその辺のお話 R, 6/25)
欧州の検閲マシンは「インターネットを殺す」のか? (P2P とかその辺のお話 R, 6/25)
》 Windows 10 Version 1709 以降で有線 LAN 接続時にモバイル ブロードバンドからインターネット接続できない (Ask the Network & AD Support Team, 7/5)。 回避するにはレジストリ設定が必要なのだそうです (Windows 10 version 1709 では KB4284822 (OS ビルド 16299.522) 以降の適用も必要)。
》 「GoogleがGmailの内容を外部企業に読ませている」という記事について (@stomita daily (or monthly, yearly), 7/4)
》 キリンビバレッジバリューベンダーと警視庁西新井警察署が「防犯活動に関する覚書」を締結~独自開発の小型カメラを内蔵した「みまもり自動販売機」を2018年夏より設置~ (KIRIN, 7/3)。監視カメラつき自販機だってさ。これだから三菱は。
なお、カメラ内の記録媒体は西新井警察署の所有となるため、記録した映像はキリンビバレッジバリューベンダーでは閲覧できない仕組み※2となっています。
自分では責任取りませんと。気色悪いなあ。
》 英南部で新たに男女が「ノビチョク」浴び危篤 英警察 (BBC, 7/5)、 英 意識不明の男女2人から神経剤ノビチョクを検出 (NHK, 7/5)。またですか。
》 こんな4WDを誰もが待っていた!!──20年ぶりに生まれ変わった新型ジムニー、本日発売! (GQ JAPAN, 7/5)。ジムニーといえば宇宙刑事。新作出たりしないのかな。
》 芥川賞候補作「美しい顔」、ノンフィクションとの類似表現が独自検証で10か所超 それでも"著作権侵害"を問うのが難しい理由 (Abema TIMES, 7/3)
》 YouTubeに苦難の6月、クリエイターや広告主から「聞いてない!」の声 (マイナビニュース, 7/4)。「これらの問題に共通するYouTubeの課題とは「透明性」である」
》 大阪市 水道記念館で飼育のイタセンパラ"全滅" (毎日, 7/5)。「橋下徹前市長時代の予算削減に伴って繁殖事業が中止され、「全滅」は時間の問題だった」。
》 「日本の秘められた恥」 伊藤詩織氏のドキュメンタリーをBBCが放送 (BBC, 6/29)
》 鹿児島・警官取り押さえ男性死亡 警察官による制圧死 撮影したTBS、映像を放送せず (毎日, 7/5)。当該事象は TBS「密着警察24時」撮影時に発生し、一部始終が撮影されたにもかかわらず、放送せず。あの手の奴って、本当に警察ヨイショ番組なんだなあ。
関連: 「TBSは死んだ」再び。映像の押収を公表せず (水島宏明, 7/5)
》 中国が裏で画策か? 狙われる台湾半導体企業 (ウォール・ストリート・ジャーナル日本版, 7/3)
》 元日経社員を告訴 社内情報漏洩の疑い (日経, 7/3)。「元」なのは、懲戒解雇済のため。 複数の漏洩行為を行っていたとされている。 日経からの「おわび」文も添付されている。
関連: 読者の皆さまにおわびします (日経, 7/4)。上記記事の「おわび」文が独立された記事なのだが、 なぜか有料会員限定記事になっている。全文読みたい方は、上記記事をどうぞ。
Firefox 用のユーザースタイルシート管理用アドオン Stylish に欠陥。 プライバシーポリシーでは非個人的なデータのみを収集することになっているが、 実際には、全ての閲覧履歴を収集していた模様。
パスワードのリセットなどで用いられる認証トークンを含んだURLや、コンテンツの共有に使われるワンタイムURLも含まれるため、個人の特定はおろか、機密情報の入手も不可能ではない。
Firefox 用 Stylish は 2018.07.03 付でブロックされた。
Chrome 用 Stylish にも同様の問題があるかどうかは不明。
関連: "Stylish" browser extension steals all your internet history (Robert Heaton, 2018.07.02)
》 「正規」を隠れ蓑にする攻撃者-2017年一年間の国内での標的型サイバー攻撃を分析 (トレンドマイクロ セキュリティ blog, 6/25)
》 バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認 (トレンドマイクロ セキュリティ blog, 7/3)
》 LinuxとWindowsを狙うマルウエアWellMess (JPCERT/CC, 6/28)。「WellMessは、Golangで作成され、クロスコンパイルによってLinuxとWindowsに対応したマルウエアです」
》 サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報 (IPA, 6/29)
》 「SSL/TLS暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査・検討」報告書の公開 (IPA, 6/28)
》 Gentoo,GitHubリポジトリを不正ハックされる (Linux Daily Topics, 6/29)
Gentoo側は「GitHub Gentooは単なるミラーであり,マスターのリポジトリは我々自身が所有するインフラ上でホストされている。したがって開発にはなんの影響もない」と強調
》 正しいURLなのに偽のサイトへアクセスしてしまう事案が発生 (gigazine, 7/4)。「正しいURLを入力しても偽のサイトへアクセスしてしまったことからDNSキャッシュポイズニングやBGPハイジャックなどの方法が考えられるとのことです」
Windows 10 version 1703 以降で固定ユーザー プロファイルを利用するとスタート メニューが動作しない (Ask the Network & AD Support Team, 6/27)
[回避策]
"固定プロファイル" のチェックボックスをチェックしない状態で手順を進めれば、従来通りの構成内容で固定ユーザー プロファイルを作成できますので、不具合が修正されるまではチェックボックスをチェックしない状態で固定ユーザー プロファイルを作成してください。
なんだそれ……。罠としか言いようがないな。
Windows 10 RS4 (1803) における移動ユーザー プロファイルとフォルダー リダイレクトの問題について (Ask the Network & AD Support Team, 7/3)。 移動ユーザー プロファイルの件は「2018 年 7 月 25 日にリリースされる累積更新プログラムに本問題の対策が含まれる予定」だそうで。 回避策もあり。
》 「息子が敗血症で生死の境に」と連絡した母親に「出勤できなければクビ」と返信したコンビニ店長が大炎上、自らが職を失う (Buzzap!, 7/4)。アメリカこぼれ話。
》 日本通運 水にぬれた備蓄米 新しい袋に詰め替え一部出荷 (NHK, 7/4)。また偽装ですか。
》 お茶の水女子大、トランスジェンダーの学生を受け入れへ。2020年度から (ハフポスト, 7/2)。お茶の水女子大が 7/2 に発表。 「9日に記者会見を開き、詳細を説明する」。関連:
お茶の水女子大。本件への言及なし。
お茶の水女子大、トランスジェンダーの学生受け入れへ (TBS, 7/3)
林芳正文部科学大臣記者会見録(平成30年7月3日) (文科省, 7/3)。本件への言及があるようです (テキスト版がまだ出てない)
トランスジェンダーの学生入学 奈良女子大も検討 (東京, 7/4)、 奈良女子大もトランスジェンダーの学生受け入れ検討 (NHK, 7/3)
》 「保守速報」裁判の高裁判決と、ヘイトスピーチ対策のこれから (荻上式BLOG, 7/4)。関連:
「保守速報」への広告取りやめ相次ぐ 国内最大級のアフィリエイトも提携解除 (籏智 広太 / BuzzFeed, 6/19)
「嫌韓サイト」はなぜ黙認されていたのか? 「保守速報」から広告会社が自主的に撤退 (籏智 広太 / BuzzFeed, 6/23)
保守速報、高裁でも敗訴。在日女性への差別を認定した判決内容とは (籏智 広太 / BuzzFeed, 6/28)。「損害賠償200万円」
保守速報「このままだと存続危うい」 広告消滅で現役市議から“救済処置”提案 グッズ販売へ? (ねとらぼ, 7/2)
なぜ彼女は「保守速報」を訴えたのか。ある在日女性の思い (籏智 広太 / BuzzFeed, 7/4)。李信恵さん。
》 アダルトサイトで架空請求の疑い 計9億2千万円詐取か (朝日, 7/4)、 詐欺容疑 不正アダルトサイト運営11人逮捕 被害9億円 (毎日, 7/4)
》 首都圏の全車両に防犯カメラ JR東日本、20年までに (朝日, 7/4)。「主にドア付近の車内灯をカメラ付きのLED蛍光灯に付け替える。在来線の全8300両と、防犯カメラのない新幹線車両200両が対象」
関連: 製品情報 - WiFiカメラ内蔵LED照明システム (TMリンク)
》 Google、「サードパーティ開発者がGmailの内容を読んでいる」報道について説明 (ITmedia, 7/4)。この件:
グーグル、外部企業に「Gmailの内容を読ませている」事が発覚 (Forbes, 7/3)
「Gmail」の内容が外部開発企業に読まれているとの報道--グーグルは協業の方法を釈明 (CNET, 7/4)
》 中国で射程距離800mのレーザー光線銃が開発。可視外光で皮膚が炭化する威力 (PC Watch, 7/3)。非殺傷兵器、ではあるのか?
》 Facebook、ブロック対象のユーザーが非ブロック扱いになっていたバグを修正。80万人が影響 (PC Watch, 7/3)
》 パナソニック、夜間でも250m先の物体を検知できるTOFセンサーを開発 ~1光子を1万倍以上に増倍するアバランシェ・フォト・ダイオード画素を導入 (PC Watch, 7/3)
VMware ESXi 6.7、Workstation 14.x、Fusion 10.x の shader translator に複数の欠陥、情報漏洩や、一般ユーザー権限での VM の crash を招く。 CVE-2018-6965 CVE-2018-6966 CVE-2018-6967。 ESXi 5.5 / 6.0 / 6.5 にはこの欠陥はない。
ESXi 6.7 用の patch ESXi670-201806401-BG、および Workstation 14.1.2、Fusion 10.1.2 で修正されている。
Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15)
Taking apart a double zero-day sample discovered in joint hunt with ESET (Microsoft Secure, 2018.07.02)
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004 (2018.04.26)
「Drupal」の脆弱性「CVE-2018-7602」を利用した攻撃を確認、仮想通貨「Monero」発掘ツールを拡散 (トレンドマイクロ セキュリティ blog, 2018.06.28)
そういえば出てましたね。iida さん情報ありがとうございます。 ESR 52 系列はいよいよ終了です。
リリースノート: Firefox 61.0、 ESR 60.1.0、 ESR 52.9.0、 Android 版 Firefox 61.0。
セキュリティアドバイザリ: Firefox、 Firefox ESR。
ダウンロード: Firefox、 Android 版 Firefox、 Firefox ESR。
Thunderbird 52.9.0 も 2018.07.03 付で出てました。
》 <大阪地震>災害時の差別デマを許してはならない理由 防災の重要な一部として議論を(加藤直樹) (加藤直樹 / アジアプレス・ネットワーク, 6/25)
過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)