セキュリティホール memo

Last modified: Fri Jan 15 19:23:14 2021 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2021.01.15

Adobe 方面 (Photoshop、Illustrator、Animate、Campaign Classic、InCopy、Captivate、Bridge)
(Adobe, 2021.01.12)

 出てましたね、そういえば。

アイコンを見るだけでデータが破壊されるNTFSの脆弱性
(PC Watch, 2021.01.15)

 NTFS の欠陥、今回は $i30 だそうで。 「データが破壊される」というか、ファイルシステム自体が壊れるみたい。 詳細はこちらを: Windows 10 bug corrupts your hard drive on seeing this file's icon (BleepingComputer, 2021.01.14)。 なかなかに強烈な DoS 攻撃が可能な模様。

 関連:


2021.01.14

いろいろ (2021.01.14)
(various)

Net-SNMP

Joomla


2021.01.13

いろいろ (2021.01.13)
(various)

TensorFlow

sudo

追記

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

Firefox 84.0 / ESR 78.6.0 公開 (2020.12.16)

 Thunderbird 78.6.1 が出ています。

2021 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.01.13)

 Microsoft 2021.01 月例更新出ました。

トピック

関連


2021.01.08


2021.01.07

いろいろ (2021.01.07)
(various)

Dovecot

  • [Dovecot-news] Dovecot v2.3.13 released (dovecot, 2021.01.04)

    CVE-2020-24386: Specially crafted command can cause IMAP hibernate to allow logged in user to access other people's emails and filesystem information.

Chrome Stable Channel Update for Desktop
(Google, 2021.01.06)

 Chrome 87.0.4280.141 公開。16 件のセキュリティ修正を含む。 $20000 x 3、$15000 x 2 の内 3 件は 360 Alpha Lab さんですか。

追記

Firefox 84.0 / ESR 78.6.0 公開 (2020.12.16)

 Firefox 84.0.2 / ESR 78.6.1、Firefox for Android 84.1.3 が出ています。 critical なセキュリティ欠陥 1 件が修正されています。

SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて (2020.12.15)

 関連:


2021.01.06

いろいろ (2021.01.06)
(various)

Android

Node.js

追記

シトリックス製品を悪用したDDoS攻撃を確認--対応パッチは1月に提供予定 (2020.12.28)

 Threat Advisory - DTLS Amplification Distributed Denial of Service Attack on Citrix ADC (Citrix) が改訂されている。 2021.01.04 付で enhancement build が公開された模様。

Citrix has added a feature enhancement for DTLS which, when enabled, addresses the susceptibility to this attack pattern. The enhancement builds are available on the Citrix downloads page for the following versions:
  • Citrix ADC and Citrix Gateway 13.0-71.44 and later releases
  • NetScaler ADC and NetScaler Gateway 12.1-60.19 and later releases
  • NetScaler ADC and NetScaler Gateway 11.1-65.16 and later releases
(中略)
Customers using DTLS are recommended to upgrade to the enhancement build and enable “HelloVerifyRequest” in each DTLS profile by using the following ADC CLI instructions:

 DDoS 攻撃への対応としては、

  • enhancement build に更新した上で HelloVerifyRequest を有効に設定する (推奨) か、

  • set vpn vserver <vpn_vserver_name> -dtls OFF で DTLS を無効に設定する

となるようです。


過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]