セキュリティホール memo

Last modified: Tue Oct 23 16:53:44 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.10.23


2018.10.22


2018.10.19

いろいろ (2018.10.19)
(various)

Ruby

libssh


2018.10.18


2018.10.17

追記

Facebook、最大5000万人分のアクセストークン流出。予防措置で9000万人を強制ログアウト (2018.10.01)

 An Update on the Security Issue (Facebook, 2018.10.12)。

  • 欠陥が存在したのは 2017.07〜2018.09

  • 攻撃者の活動を 2018.09.14 に検知。2018.09.25 に攻撃であると断定し、欠陥を発見。続く 2 日で欠陥の修正と攻撃の遮断、アクセストークンのリセットを実施。

  • 攻撃者は、あらかじめ支配下に置いた複数のアカウントを元に、その友人、またその友人へと自動化された攻撃を実施してアクセストークンを取得。合計 40 万アカウントに達した。この 40 万アカウントについては、自動攻撃の過程でアカウントの Facebook プロフィールを参照されている。That includes posts on their timelines, their lists of friends, Groups they are members of, and the names of recent Messenger conversations だそうで。

  • 攻撃者は、上記の 40 万アカウントを元に、3000 万アカウントのアクセストークンを取得。 このうち 1500 万については、名前と連絡先詳細 (phone number, email, or both, depending on what people had on their profiles) を取られた。 1400 万については、名前と連絡先詳細に加えてプロフィールの詳細情報も (username, gender, locale/language, relationship status, religion, hometown, self-reported current city, birthdate, device types used to access Facebook, education, work, the last 10 places they checked into or were tagged in, website, people or Pages they follow, and the 15 most recent searches)。 残り 100 万については、他には何も取られてない (アクセストークンだけ)。

Oracle Critical Patch Update Advisory - October 2018
(Oracle, 2018.10.16)

 Oracle 四半期定例 patch 出ました。Java SE は 8u191/8u192 と 11.0.1 LTS になってます。ダウンロード (Oracle)。Oracle Java SE サポート・ロードマップ (Oracle)


2018.10.16

改ざん可能製品 捜査で使用 県警などの証拠写真記録SDカード
(新潟魁新報, 2018.10.04)

 「新潟県警など全国の多くの警察」がサンディスクの SD WORM (生産停止) から東芝の Write Once に変更したそうで。東芝 Write Once の方が安いらしいのだが、どうやら、SD WORM と Write Once は似て非なるもののようなのだ。

このカードは、東芝メモリ社の「ライトワンスメモリカード」で、同社は改ざん防止機能付きとしている。しかし、業界関係者などによると、カード内の画像をパソコンの加工ソフトを使って編集し、別のライトワンスカードにコピーすることで、書き換えた画像を原本のように装うことができる。デジタルカメラの内蔵メモリーを介しても同様のことができるという。

 SD WORM ならできないことが、Write Once ではできてしまう模様。

 東芝 Write Once は、対応機種でなくても使えてしまう程度のものらしい。

 サンディスク SD WORM と同等のものとしては PGS WORM CARD があるのだが、東芝 Write Once の方が安いので、下手な仕様で入札すると Write Once が勝ってしまうみたい。

追記

ルーターにサイバー攻撃か ネット接続で不具合相次ぐ (2018.03.29)

 Roaming Mantis:iOSでの仮想通貨マイニングと、悪意あるコンテンツ配信システムを介した拡散 (Kaspersky, 2018.10.12)。ひきづつき、変化を続けているようです。


2018.10.15


2018.10.12

追記

いろいろ (2018.10.02) Foxit Reader, Foxit PhantomPDF

 日本語版も 9.3 になったようです。


2018.10.11


2018.10.10

追記

Firefox 62.0 / ESR 60.2.0 公開 (2018.09.06)

 2018.10.04 付で Thunderbird 60.2.1 が出ていたんですね。

いろいろ (2018.10.10)
(various)

VMware

Ghostscript

Intel Graphics Drivers / NUC Firmware Kits / QuickAssist Technology for Linux

Adobe 方面 (Digital Editions, Experience Manager, Framemaker, Technical Communications Suite)
(Adobe, 2018.10.09)

 今回はマイナーなのばっかみたい。

2018 年 10 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.10.10)

 2018.10 定例。IE / Edge, Windows, Office, SharePoint, ChakraCore, .NET Core, SQL Server Management Studio, Exchange。


2018.10.09

「Google+」が終了へ、18年3月に見つかった情報漏洩バグを今まで公表せず
(日経 xTECH, 2018.10.09)

 Google+ アプリが、"public" とされていない Google+ プロファイルの内容を、API 経由で見れてしまっていた模様。当該の欠陥は 2018 年 3 月に発見後すぐに修正されたそうなのだが、今に至るまで公表せず。 初報は WSJ だったのだそうで:

 Google からの発表はこちら: Project Strobe: Protecting your data, improving our third-party APIs, and sunsetting consumer Google+ (Google, 2018.10.08)。Project Strobe という内部監査を実施したらこんなん出ましたけど、 というノリでいいのか Google 。

 日経 xTECH 記事によると、当該の欠陥は 2015 年から存在していたという。 Google からの発表では "We believe it occurred after launch as a result of the API’s interaction with a subsequent Google+ code change" とだけ記述されていて、時期は明示されていない。 ITmedia 記事では「米Wall Street Journalによると、この変更は2015年に行われたという」となっている。

 そして、ログが 2 週間分しか保存されていなかったため、実際の漏洩実態は不明なのだという。

 グーグルはAPIが悪用されたり、流出した情報が不正に利用されたりした証拠は見つからなかったと述べている。しかし額面通りに受け取るのは難しい。グーグルがAPIの利用ログを2週間分しか保存していなかったからだ。
 グーグルは3月に2週間分のログを分析し、最大50万人のGoogle+ユーザーが情報漏洩の影響を被る可能性があり、最大438種類のアプリケーションが問題のあるAPIを利用していたことを突き止めたという。しかしバグは2015年から存在していた。それから2018年3月までにAPIがどのように利用され、何件のデータが流出したかは不明だ。

 なんじゃそりゃー?! と思って Google からの発表を読むと、本当にそう書かれている。 うげえ。

We made Google+ with privacy in mind and therefore keep this API’s log data for only two weeks. That means we cannot confirm which users were impacted by this bug. However, we ran a detailed analysis over the two weeks prior to patching the bug, and from that analysis, the Profiles of up to 500,000 Google+ accounts were potentially affected. Our analysis showed that up to 438 applications may have used this API.

 Google さんって、他のサービスも 2 週間しか log 取ってないのかしらん。

Apple 方面 (iOS, iCloud for Windows)
(Apple, 2018.10.08)

 出ました。


2018.10.08


2018.10.05

ClamAV 0.100.2 has been released!
(ClamAV, 2018.10.03)

 ClamAV 0.100.2 公開。5 件のセキュリティ欠陥を修正。


2018.10.04

追記

Facebook、最大5000万人分のアクセストークン流出。予防措置で9000万人を強制ログアウト (2018.10.01)


2018.10.03

追記

Firefox 62.0 / ESR 60.2.0 公開 (2018.09.06)

 Firefox 62.0.3 / ESR 60.2.2、Android 版 Firefox 62.0.3 公開 (2018.10.02)。セキュリティ修正を含む。


2018.10.02

いろいろ (2018.10.02)
(various)

Jenkins Plugins

Django

Foxit Reader, Foxit PhantomPDF

2018.10.12 追記:

 日本語版も 9.3 になったようです。

富士電機 サーボシステム、低圧インバータ

Security bulletin for Adobe Acrobat and Reader | APSB18-30
(Adobe, 2018.10.01)

 Adobe Acrobat / Reader for Windows / Mac 更新。86 件のセキュリティ修正。 Priority Rating は 2 なので 0-day ではないっぽいのだが。

 前回の更新 Security bulletin for Adobe Acrobat and Reader | APSB18-34 と Bulletin 番号が逆転しているのは何故なのだろう。


2018.10.01

Facebook、最大5000万人分のアクセストークン流出。予防措置で9000万人を強制ログアウト
(engadget, 2018.09.29)

 Facebook の View As(プロフィールのプレビュー)機能に欠陥があり、他人のアクセストークンを取得できてしまった模様。流出した約 5000 万アカウントのアクセストークンをリセット。 さらに、この 5000 万アカウントとは別に、昨年 View As された約 4000 万アカウントについても、予防措置としてアクセストークンをリセット。 これらのユーザーからは、強制ログアウトされたように見える。

 関連:

2018.10.04 追記:

 関連:

2018.10.17 追記:

 An Update on the Security Issue (Facebook, 2018.10.12)。


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]