セキュリティホール memo

Last modified: Fri Apr 19 18:59:33 2019 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2019.04.19

追記

Oracle Critical Patch Update Advisory - April 2019 (2019.04.17)

 Oracle Java SEの有償化に伴うOpenJDKへの切り替えの案内 (京都教育大学)。まとまっていて、わかりやすい文書。

OpenSSH 8.0 was released
(OpenSSH, 2019.04.17)

 OpenSSH 8.0 出ました。戸井さん情報ありがとうございます。

This release contains mitigation for a weakness in the scp(1) tool and protocol (CVE-2019-6111): when copying files from a remote system to a local directory, scp(1) did not verify that the filenames that the server sent matched those requested by the client. This could allow a hostile server to create or clobber unexpected local files with attacker-controlled content.

This release adds client-side checking that the filenames sent from the server match the command-line request,

The scp protocol is outdated, inflexible and not readily fixed. We recommend the use of more modern protocols like sftp and rsync for file transfer instead.

 関連: scp client multiple vulnerabilities (sintonen.fi)


2019.04.18

いろいろ (2019.04.18)
(various)

Drupal

AdBlock, Adblock Plus, uBlock

RubyGems

VU#166939 - Broadcom WiFi chipset drivers contain multiple vulnerabilities
(US-CERT, 2019.04.17)

 Broadcom の無線 LAN チップセット用ドライバーに欠陥。 Broadcom 製 wl ドライバー、およびオープンソースで開発された brcmfmac ドライバーにそれぞれ個別のセキュリティ欠陥が複数あり、 remote から DoS 攻撃や任意のコードを実行できる。

 brcmfmac ドライバーには修正が施された。wl ドライバーにはまだみたい。


2019.04.17

いろいろ (2019.04.17)
(various)

Confluence Server, Confluence Data Center

Visual CSS Style Editor (WordPress プラグイン)

  • WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 (徳丸浩の日記, 2019.04.17)。7.2.0 以降で修正されている。

    複数の問題が組み合わさって攻撃が可能になっていますが、とくに、yp_remote_get_first()関数内で、特定のGETパラメータを指定すると一時的に管理者になる(厳密にはid=1のユーザになる)機能が実装されていることが原因のようです。この機能の意図はよくわかりませんが、表面上は開発者が仕込んだバックドアのように見えます。

Evernote for Windows

Internet Explorer 11

カスペルスキー インターネット セキュリティ 2019

Oracle Critical Patch Update Advisory - April 2019
(Oracle, 2019.04.16)

 Oracle 四半期アップデート来ました。Java や VirtualBox も更新されています。

 なお、Oracle Java についてはライセンスが変更されたので注意が必要です。

 ひっかかる場合は、Oracle の商用ライセンスを買うか、あるいは OpenJDK に移行することになるのでしょう。

 リンク:

 手元の機械には、とりあえず Zulu を入れてみた (8u212 が公開されていたので)。

2019.04.19 追記:

 Oracle Java SEの有償化に伴うOpenJDKへの切り替えの案内 (京都教育大学)。まとまっていて、わかりやすい文書。


2019.04.16

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

2019 年 4 月のセキュリティ更新プログラム (月例) (2019.04.11)


2019.04.15

Wi-Fiセキュリティの新規格「WPA3」に脆弱性が発見される
(gigazine, 2019.04.11)

 オリジナルはこちらから: Dragonblood - Analysing WPA3's Dragonfly Handshake (wpa3.mathyvanhoef.com)。 WPA2 へのダウングレード攻撃が可能な上に、サイドチャンネルからパスワード関連情報が漏洩するため、辞書攻撃に類似した攻撃が可能。

Our downgrade attack enables an adversary to force a client to partly execute WPA2's 4-way handshake, which can subsequently be used to perform a traditional brute-force attack against the partial WPA2 handshake. Additionally, we also discovered downgrade attacks against the Dragonfly handshake itself, which can be abuse to force a victim into using a weaker elliptic curve than it would normally use.

Our side-channel attacks target Dragonfly's password encoding method. The cache-based attack exploits Dragonflys's hash-to-curve algorithm, and our timing-based attack exploits the hash-to-group algorithm. The information that is leaked in these attacks can be used to perform a password partitioning attack, which is similar to a dictionary attack. The resulting attacks are efficient and low cost. For example, to brute-force all 8-character lowercase passwords, we require less than 40 handshakes and 125$ worth of Amazon EC2 instances.

 世の中きびしい。

追記

2019 年 4 月のセキュリティ更新プログラム (月例) (2019.04.11)


2019.04.12


2019.04.11

追記

ラブライブ公式ドメイン乗っ取り事件 (2019.04.08)

いろいろ (2019.04.11)
(various)

Wireshark

Symantec Endpoint Encryption

Symantec VIP Enterprise Gateway

Adobe Dreamweaver

Adobe XD

Adobe InDesign

Adobe Experience Manager Forms

Adobe Bridge CC

Security update available for Adobe Shockwave Player | APSB19-20
(Adobe, 2019.04.09)

 Adobe Shockwave Player for Windows 12.3.5.205 公開。7 件のセキュリティ欠陥を修正。Priority: 2

 Shockwave Player for Windows のサポートはこれで終了

Security updates available for Adobe Acrobat and Reader | APSB19-17
(Adobe, 2019.04.09)

 21 件のセキュリティ欠陥を修正。Priority: 2

種別 更新版
Acrobat DC / Acrobat Reader DC (Continuous Track) 2019.010.20099
Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30138
Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30493

Updates available for Adobe Flash Player | APSB19-19
(Adobe, 2019.04.09)

 Flash Player 32.0.0.171 公開。2 件のセキュリティ欠陥 CVE-2019-7108 CVE-2019-7096 を修正。Priority: 2 (Linux 版は 3)。

2019 年 4 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2019.04.10)

 出ました。Flash Player, IE / Edge, Windows, Office, ChakraCore, ASP.NET, Exchange, Team Foundation Server, Azure DevOps Server, Open Enclave SDK, Windows Admin Center 。

2019.04.15 追記:

 複数の会社のアンチウイルスソフトで不具合が発生するそうで:

 アンチウイルス各社からの情報:

 報道:

2019.04.16 追記:

 2019年4月パッチを適用したWindows 7/8.1が応答不能に ~一部セキュリティ製品と非互換問題  Sophos、Avira、AVGに影響。Avastでは緊急アップデートが実施される (窓の杜, 2019.04.16)

Vulnerability in closed plugin Yuzo Related Posts
(stackoverflow, 2019.04.11)

 メンテナンスが終了している WordPress 用プラグイン yuzo-related-post に XSS 欠陥があり、悪用されてハクられる事例が各地で発生している模様。

 インストールしている方は、今すぐ削除しましょう。


2019.04.10


2019.04.09

いろいろ (2019.04.09)
(various)

Samba

Apache HTTP Server

GNU Wget

GnuTLS

IE / Edge


2019.04.08

ラブライブ公式ドメイン乗っ取り事件
(various, 2019.04.05)

 項目立てておいた方がよさそうなので、立てておきます。

2019.04.11 追記:

 「ラブライブ!」乗っ取りを“教訓”に ドメイン名の価値に見合った管理方法 (高橋睦美 / ITmedia, 2019.04.11)


2019.04.05


2019.04.04

いろいろ (2019.04.04)
(various)

Huawei PCManager

Android

UC Browser


2019.04.03

追記

新元号「令和」への対応まとめ (4/1)


2019.04.01

新元号「令和」への対応まとめ
(various)

 とりあえずつくっておく。

2019.04.03 追記:

 関連:

2019.04.18 追記:

 関連:

追記

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, Xcode, iTunes for Windows, iCloud for Windows) (2019.03.25)

 About the security content of Security Update 2019-002 High Sierra and Security Update 2019-002 Sierra (Apple, 2019.03.30)。Security Update 2019-002 の新版が出たっぽいです。 うまくアップデートできない事例が多数発生したのかな。 いやいやそれよりも、

  • The latest build number for macOS version 10.13 High Sierra is 17G6030.
  • The latest build number for macOS version 10.12 Sierra is 16G1918.
These builds restore a number of security fixes that were missing from the previous build.

 前の版には修正漏れがあったと!!! うひー。


過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]