セキュリティホール memo

Last modified: Fri Oct 18 12:48:44 2019 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2019.10.18


2019.10.17

Safariブラウザ、iOS13で中国Tencentにデータを送信していることが判明
(iPhone Mania, 2019.10.15)

 iOS13 のドキュメントに明記されているのだそうで。

Webサイトを閲覧する前に、SafariはWebサイトのアドレスから算出された情報をGoogle Safe BrowsingおよびTencent Safe Browsingに送信し、そのWebサイトが不正かどうかを確かめます。

 Apple は、Tencent Safe Browsing の利用は中国本土でのみ実施と説明。

 だとしたら、そのように記載すべきだよなあ。

 ところで、香港は、どういう扱いになっているのだろう。

いろいろ (2019.10.17)
(various)

WordPress

VMware Cloud Foundation, VMware Harbor Container Registry for PCF

BIND 14.x / 15.x に 2 件のセキュリティ欠陥
(JPRS, 2019.10.17)

 出ました。

 BIND 9.14.7 / 9.15.5 で修正されている。


2019.10.16

Adobe 方面 (Experience Manager, Acrobat and Reader, Experience Manager Forms, Download Manager)
(Adobe, 2019.10.15)

 出ました。

Experience Manager

Acrobat and Reader

  • Security updates available for Adobe Acrobat and Reader | APSB19-49 (Adobe, 2019.10.15)

    Acrobat / Reader for Windows/macOS に 68 件の欠陥、以下のバージョンで修正。

    種別 更新版
    Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.021.20047
    Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30150
    Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30504

    Priority Rating: 2

Experience Manager Forms

Download Manager

Oracle Critical Patch Update Advisory - October 2019
(Oracle, 2019.10.15)

 Oracle 四半期定例更新出ました。VirtualBox は 6.0.14 / 5.2.34、 Java SE は 13.0.1 / 11.0.5 / 8u231 / 8u232 / 7u241 / 7u242 が出た模様。

 次回は 2020.01.14。

2019.10.17 追記:

 関連:

追記

Apple 方面 (macOS Catalina, iTunes for Windows, iCloud for Windows, Swift for Ubuntu) (2019.10.14)

 iTunes for Windows には Bonjour の 0-day の修正が含まれていたのだそうで。


2019.10.15

Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化
(engadget, 2019.10.15)

 sudo 1.8.27 以前に欠陥。sudo の実行は許可されているが root 権限での実行は許可されていないユーザーが、root 権限を取得できてしまう。

 sudo 1.8.28 で修正されている。

 それにしても、sudo、いつのまに食パンマンになったんだ?


2019.10.14

Apple 方面 (macOS Catalina, iTunes for Windows, iCloud for Windows, Swift for Ubuntu)
(Apple, 2019.10.07)

 そういえば出てました。

 また、セキュリティ欠陥の修正は含まれないが、Safari 13.0.2 が 2019.10.07 付で macOS Mojave 10.14.6 と High Sierra 10.13.6 用として公開されている。

2019.10.16 追記:

 iTunes for Windows には Bonjour の 0-day の修正が含まれていたのだそうで。


2019.10.11

Mac向け端末エミュレーター「iTerm2」に深刻な脆弱性 ~Mozillaのセキュリティ監査で発見
(窓の杜, 2019.10.10)

 tmux 実装に欠陥があり、iTerm2 3.3.6 で修正されているそうです。

Chrome Stable Channel Update for Desktop
(Google, 2019.10.10)

 Chrome 77.0.3865.120 公開。5 件のセキュリティ欠陥を修正。 $20500 なんて懸賞金も出てるなあ。


2019.10.10

追記

「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース  スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)

 【アプデ/10】 印刷の不具合、修正された模様 [Update 1] (ニッチなPCゲーマーの環境構築, 2019.10.09)。印刷の件は 2019.10.04 版で直ったはずが直っておらず、2019.10.09 版で直ったという話。

2019 年 10 月のセキュリティ更新プログラム (月例) (2019.10.09)

 関連:


2019.10.09

2019 年 10 月のセキュリティ更新プログラム (月例)
(Microsoft Security Response Center, 2019.10.09)

 出ました。Windows、IE / Edge (EdgeHTMLベース)、 ChakraCore、 Office、 SQL Server Management Studio、 Open Source Software、 Dynamics 365、 Windows Update Assistant。「Open Source Software」は Open Enclave SDK と Azure App Service on Azure Stack のことでいいのかな。

 関連:

2019.10.10 追記:

 関連:

OpenSSH 8.1 リリースノート
(OpenSSH.com, 2019.10.08)

 OpenSSH 8.1 公開。セキュリティトピックが 2 件掲載されている。

 XMSS (eXtended Merkle Signature Scheme) 鍵形式は OpenSSH 7.7 から実験的にサポートされたもの。デフォルトではコンパイルされないし、ふつうの人には関係なさそう。


2019.10.08


2019.10.07


2019.10.04

Cisco Releases Security Updates
(US-CERT, 2019.10.03)

 Cisco Security Advisories に 2019.10.02 付でいっぱい出てきてる件のことかな。

Buffer overflows found in libpcap and tcpdump
(SANS ISC, 2019.10.03)

 libpcap 1.9.1 と tcpdump 4.9.3 が出たそうです。

Unboundの脆弱性情報が公開されました(CVE-2019-16866)
(JPRS, 2019.10.04)

 unbound 1.7.1〜1.9.3 に欠陥。NOTIFY クエリの処理に欠陥があり、 攻略 NOTIFY クエリによって unbound デーモンが crash する。

 unbound 1.9.4 で対応されている。

追記

「Internet Explorer」にリモートコード実行の脆弱性 ~Microsoftがパッチをリリース  スクリプトエンジンにメモリ破損の欠陥 (2019.09.24)

 WSUS で以下が流れてきました。

 CVE-2019-1367 | Scripting Engine Memory Corruption Vulnerability (Microsoft, 2019.10.03 改訂) を見ると、

Version 2.0, 10/03/2019: To address a known printing issue customers might experience after installing the Security Updates or IE Cumulative updates that were released on September 23, 2019 for CVE-2019-1367, Microsoft is releasing new Security Updates, IE Cumulative Updates, and Monthly Rollup updates for all applicable installations of Internet Explorer 9, 10, or 11 on Microsoft Windows. Please see the Security Updates table for CVE-2019-1367 for the new updates. Note that these updates are available automatically via Windows Update, WSUS, or manually from the Microsoft Update Catalog. This release is separate from the October Update Tuesday release, which is scheduled for October 8, 2019.

 最初のバージョンでは印刷関連で不具合が発生していたのを修正したと。 来週 (日本では 10/9) には月例更新が出るけど、それはそれで適用してね。


2019.10.03

いろいろ (2019.10.03)
(various)

PDF の暗号化仕様

Linux Kernel

Python

FON

追記

Exim CVE-2019-16928 RCE using a heap-based buffer overflow (2019.09.30)


2019.10.02


2019.10.01


過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]