セキュリティホール memo

Last modified: Mon Jan 15 17:47:44 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.01.15


2018.01.12

VU#584653 - CPU hardware vulnerable to side-channel attacks
(US-CERT, 2018.01.03)

 Spectre (CVE-2017-5753, CVE-2017-5715)、 Meltdown (CVE-2017-5754) の件。いまどきの CPU が備える高速化手法「投機的実行」を悪用すると、 読めないはずのメモリーを読めてしまう。 Spectre は各社の CPU が、Meltdown は Intel の CPU が (基本的には) 該当。 解説:

 対応すると性能が低下するとされている。どのくらい低下するのか:

 対応。各社ともステータスが日々更新されている。

AMD

Android

Apple

ARM

Cisco

Citrix

FreeBSD

Google

Intel

Kaspersky

Microsoft

NVIDIA

OpenBSD

QNAP

Raspberry Pi

Red Hat

Synology

VMware


2018.01.11

追記

Apple 方面 (iOS, macOS, Safari 更新) (2018.01.10)

2018 年 1 月のセキュリティ更新プログラム (月例) (2018.01.10)

 2018 年 1 月の更新プログラムを適用後、CoInitializeSecurity がエラーになる事象について (Ask CORE, 2018.01.10)。現時点では、更新プログラムのアンインストールでしか対処できない模様。

Windows 10 / Windows Server 2016 でも Windows Update の自動更新は止められます
https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/

 あと、32bit 版 OS 用 patch では CVE-2017-5754 に対応されていない件、 Server 2008 / 2012 用 patch はまだ用意されていない件、 「保護を有効にするために必要な構成の変更」の詳細を追記。


2018.01.10

2018 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.01.10)

 出ました。IE / Edge、Windows、Office、SQL Server、ChakraCore、.NET Framework、 .NET Core、ASP.NET Core、Flash Player。 IE / Edge、Windows、SQL Server については、1/4 に定例外で出たものから変化せずだそうで。

 Spectre (CVE-2017-5753, CVE-2017-5715)、 Meltdown (CVE-2017-5754) の対応が含まれるわけですが、いろいろ注意が必要。 ガイダンスを読まれたい。

 性能の件、詳細についてはこちらを: Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems (Microsoft Secure, 2017.01.09)

 一部の AMD チップセットで不具合が発生しているようです。

 なお、セキュリティ更新プログラム ガイド では Spectre / Meltdown の CVE 3 つあわせて ADV180002 として分類している。CVE 番号では検索できないので注意。

2018.01.11 追記:

 2018 年 1 月の更新プログラムを適用後、CoInitializeSecurity がエラーになる事象について (Ask CORE, 2018.01.10)。現時点では、更新プログラムのアンインストールでしか対処できない模様。

Windows 10 / Windows Server 2016 でも Windows Update の自動更新は止められます
https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/

 あと、32bit 版 OS 用 patch では CVE-2017-5754 に対応されていない件、 Server 2008 / 2012 用 patch はまだ用意されていない件、 「保護を有効にするために必要な構成の変更」の詳細を追記。

Apple 方面 (iOS, macOS, Safari 更新)
(Apple, 2018.01.09)

 出ました。Spectre (CVE-2017-5753, CVE-2017-5715) 対応だそうです。

2018.01.11 追記:

 Macで再びパスワード関連の脆弱性、「macOS High Sierra」はパスワードなしでシステム環境設定の一部にアクセス可能 (gigazine, 2018.01.11)。macOS High Sierra 10.13.2 の欠陥、10.13.3 で修正される。

APSB18-01 - Security updates available for Flash Player
(Adobe, 2018.01.09)

 Flash Player 28.0.0.137 公開。1 件の欠陥を修正。


2018.01.09


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]