セキュリティホール memo

Last modified: Fri Nov 16 17:41:36 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.11.16

追記

Security updates available for Adobe Acrobat and Reader | APSB18-40 (2018.11.14)

 これ、 APSB18-09 (2018.05.14) で修正されたはずの CVE-2018-4993 の修正もれなのだそうで。


2018.11.15


2018.11.14

Security updates available for Adobe Photoshop CC | APSB18-43
(Adobe, 2018.11.13)

 Photoshop CC 19.1.6 for Windows / Mac 以前に情報漏洩を招く欠陥 CVE-2018-15980。 Photoshop CC 19.1.7 および 20.0 で修正。 Priority: 3

Security updates available for Adobe Acrobat and Reader | APSB18-40
(Adobe, 2018.11.13)

 Adobe Acrobat / Reader for Windows 更新 (Mac 版は更新なし)。 NTLM hash の漏洩を招く 1 件の欠陥 CVE-2018-15979 を修正。 当該欠陥の PoC が公開されている。 Priority: 1。

種別 更新版
Acrobat / Acrobat Reader DC (Continuous Track) 2019.008.20081
Acrobat / Acrobat Reader 2017 (Classic 2017) 2017.011.30106
Acrobat / Acrobat Reader DC (Classic 2015) 2015.006.30457

2018.11.16 追記:

 これ、 APSB18-09 (2018.05.14) で修正されたはずの CVE-2018-4993 の修正もれなのだそうで。

Security updates available for Flash Player | APSB18-39
(Adobe, 2018.11.13)

 Flash Player 31.0.0.148 公開。情報漏洩を招く 1 件の欠陥 CVE-2018-15978 を修正。 Priority: 2 (Linux は 3)。

追記

いろいろ (2018.11.09) Samsung, Crucial SSD の暗号化機能

2018 年 11 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.11.14)

 2018.11 定例出ました。 IE / Edge, Windows, Office, SharePoint, Exchange, ChakraCore, .NET Core, Skype for Business / Lync, Azure App Service on Azure Stack, Team Foundation Server, Microsoft Dynamics 365, PowerShell Core, Microsoft.PowerShell.Archive 1.2.2.0, Flash Player。

 関連:

Tポイントの不正はワンタイムパスワードでは防げないらしい
(独房の中, 2018.11.13)

 えっと思って ログインできない場合のお手続き (Yahoo! JAPAN) から見ていくと、こんなことが書かれている。

入力・指定されたYahoo! JAPAN IDとTカード番号が、Tポイント利用手続きにおいてお客様が連携させたものと同一のものであることが確認できた場合、本人確認完了として、ログイン方法の再設定を行なえます。

 うわあ。事実上、Tカード番号がパスワードと化している。マジか。


2018.11.13

追記

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

 Trend Micro社製 macOS/iOSアプリがApp Storeから一時公開停止されている件について (トレンドマイクロ, 2018.09.12) で事象の発生を認めてから 2 か月が経過しましたが、解決する目処は全く立っていないように見えます。というか、解決する気あるの?


2018.11.12

追記

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

 関連:

Appleが「iPhone X」と「13インチMacBook Pro」の無償修理プログラムを発表 一部製品に不具合を確認
(ねとらぼ, 2018.11.12)

 こちら:


2018.11.09

追記

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

 Appleに消されたトレンドマイクロ、CEOの言い分 (日経, 2018.11.09)。 「日経 xTECH 2018年11月1日付の記事を再構成」。

「Google+」が終了へ、18年3月に見つかった情報漏洩バグを今まで公表せず (2018.10.09)

 グーグルプラスの欠陥問題、米上院議員が公表の遅れを問題視 (ロイター, 2018.10.25)。「エイミー・クロブチャー、キャサリン・コルテス・マスト両上院議員」。Amy Klobuchar と Catherine Cortez Mast。

いろいろ (2018.11.09)
(various)

PowerDNS Recursor, Authoritative Server

LogonTracer

nginx

 nginx 1.15.6, 1.14.1 で修正。

Samsung, Crucial SSD の暗号化機能

  • SamsungやCrucial製SSDの暗号化機能に脆弱性 (PC Watch, 2018.11.07)

    問題のSSDではパスワードと秘密鍵が紐付けられておらず、パスワード変更のコマンドを使ってパスワードを書き換えてしまうことで、データにアクセスが可能となっていたという。
    Windows標準の暗号化機能「BitLocker」の場合、ドライブがハードウェア暗号化に対応していると、そちらを優先して利用するよう標準で設定されており、問題のあるハードウェア暗号化が有効化されてしまう。そのため、研究チームではグループポリシー設定から強制的にソフトウェア暗号化を利用するように設定するとともに、再度ドライブを暗号化するよう推奨している。
  • Radboud University researchers discover security flaws in widely used data storage devices (Radboud University, 2018.11.05)。問題発見者が確認したのは以下の機器:

    Crucial (Micron) MX100, MX200 and MX300 internal hard disks;
    Samsung T3 and T5 USB external disks;
    Samsung 840 EVO and 850 EVO internal hard disks.
2018.11.14 追記:

VirtualBox

SMT CPU (確認されたのは Intel Skylake / Kaby Lake の Hyper-Threading)

Android


2018.11.07


2018.11.06

Armis Discovers "BLEEDINGBIT," Two Critical Chip-Level Vulnerabilities That Expose Millions of Enterprise Access Points to Undetectable Attack
(Armis / PRNewswire, 2018.11.01)

 Texas Instruments (TI) の Bluetooth Low Energy (BLE) チップに 2 種類の欠陥。

 関連:

 五十嵐さん情報ありがとうございます。


2018.11.05


2018.11.02

いろいろ (2018.11.02)
(various)

Squid

 patch あり。squid 4.4 で対応。

curl

 patch あり。curl 7.62.0 で対応。

OpenSSL

 Severity: low のため、次期版 (OpenSSL 1.1.1a / 1.1.0j / 1.0.2q) で対応。 git リポジトリ上では対応済。 iida さん情報ありがとうございます。

Windows 10 broadFileSystemAccess API

Apache Tomcat JK mod_jk Connector

Cisco Adaptive Security Appliance, Firepower Threat Defense

X.Org


2018.11.01

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iTunes, iCloud for Windows)
(Apple, 2018.10.30)

 出てます。

 しかし watchOS 5.1 は不具合が発生してダウンロード不可となっているみたい。

追記

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

 関連:

  • 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ (高木浩光@自宅の日記, 2018.10.31)。ですよねえ。

  • トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明 (ZDNet, 2018.10.31)

     Appleは、10月からApp Storeで提供するアプリでの新しいプライバシーポリシー要件の適用を開発者に求めており、アプリが収集するデータの種類や収集方法、用途の明確化が必要となった。Chen氏の主張は、セキュリティを主目的とするアプリ、あるいはセキュリティ企業がセキュリティに関連して提供するアプリにおいて、Appleの求めるポリシーへの厳格な対応が難しいという課題であり、この点が、同社アプリの提供を再開する上でも懸案事項になっているようだ。

    いやいや、ちょっと待って。「Appleの求めるポリシーへの厳格な対応が難しい」なんてことは、他のセキュリティベンダーは言ってないと思うのですが。 なぜトレンドマイクロだけがそういうことを言っているのか、インタビュアーさんは聞きましょうよ。

     Chen氏は、Appleの求める要件がこれからのITにおいて必須であることを理解しており、トレンドマイクロとしてもAppleの方針に賛同し、そのプロセスに対応していく考えであると話す。ただ、懸案事項に関する結論はまだ出ておらず、Appleとトレンドマイクロとの間で事態の打開に向けた具体的な協議をこれから本格化させていくという。

    顧客利益を考えれば、トレンドマイクロは、 「Appleの求めるポリシーへの厳格な対応」を行ったバージョンを、 まずはとっとと出すべきでしょう。その上で、「懸案事項」に関する協議だのなんだのを行えばよいのです。

『JapanTaxi』アプリ 位置情報データ取り扱いについて (2018.10.30)

Firefox 63.0 / ESR 60.3.0 公開 (2018.10.25)


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]