セキュリティホール memo

Last modified: Tue Jan 18 18:11:04 2022 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2022.01.18

追記

2022 年 1 月のセキュリティ更新プログラム (月例) (2022.01.14)

 VPN 問題等の修正 patch 出たようです:

 手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。


2022.01.17

いろいろ (2022.01.17)
(various)

FreeBSD

 SA はこちら。

 あと Errata がいくつか。いずれも patch あり。

キングジム テプラ PRO SR5900P / SR-R7900P

Safari 15、Web行動履歴の漏洩につながる脆弱性。特にiPhone/iPadに大きな影響
(PC Watch, 2022.01.17)

 Safari の、というより、WebKit の欠陥。

報告された脆弱性は、Safari 15などで使われるWebKitに実装された「IndexedDB」APIが「Same-origin policy」に違反した状態になっているというもの。(中略) 影響を受けるのはmacOSのSafari 15、およびiOS 15/iPadOS 15で動作するすべてのWebブラウザ。前者はSafariのみだが、後者でSafari以外が含まれるのは、iOS/iPadOS上のすべてのWebブラウザにおいてWebKitエンジンを使用するよう、Appleが定めているため。

 macOS では非標準の Web ブラウザを使うことで回避できるが、 iOS / ipadOS では回避不能と。

 詳細:


2022.01.15

いろいろ (2022.01.15)
(various)

ClamAV

About the security content of iOS 15.2.1 and iPadOS 15.2.1
(Apple, 2022.01.12)

 HomeKit の欠陥 CVE-2022-22588 を修正、だそうで。

 関連: Apple、悪意のあるHomeKitデバイスを登録するとiPhoneの動作が不安定になり、デバイスを復元してもiCloud同期で再び問題が発生してしまうゼロデイ脆弱性を修正した「iOS/iPadOS 15.2.1」をリリース。 (AAPL Ch., 2022.01.13)


2022.01.14

 人生辛すぎる。

Firefox 96.0 / ESR 91.5.0、Firefox for Android 96、Thunderbird 91.5.0 公開
(Mozilla, 2022.01.11)

 はい、出てました。

Adobeが今年初のセキュリティパッチを公開 〜「Acrobat」「Illustrator」など5製品が対象
(窓の杜, 2022.01.12)

 Adobe Acrobat/Reader / Illustrator / Bridge / InCopy / InDesign のセキュリティ更新が公開されたそうで。時間が取れたらちゃんと書きたい。

2022 年 1 月のセキュリティ更新プログラム (月例)
(Microsoft, 2022.01.12)

 出ましたが、今回は不具合多めのようで。

 で、ええっと何でしたっけ?

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21919 (Windows)、CVE-2022-21874(Windows)、CVE-2022-21839(Windows)、CVE-2022-21836(Windows)、CVE-2021-36976(Librachive)、CVE-2021-22947(Curl) は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、これらの脆弱性の悪用は、セキュリティ更新プログラムの公開時点では確認されていません。

 既知の欠陥だが攻略されたとは確認されていないと。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-21907 (HTTP プロトコル スタックのリモートでコードが実行される脆弱性) およびCVE-2022-21849 (Windows IKE Extensionでコードが実行される脆弱性) は、CVSS スコア Base スコアが9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。

 IKE Extension がらみは上記含めて 6 件 (CVE-2022-21843, CVE-2022-21883, CVE-2022-21848, CVE-2022-21849, CVE-2022-21889, CVE-2022-21890) あるそうで。 これが上記の VPN 話につながっていると推測されるが詳細不明。

 関連:

2022.01.18 追記:

 VPN 問題等の修正 patch 出たようです:

 手元でも試してみたところ、L2TP/IPsec な VPN に接続できるようになりました。 Windows 10 バージョン 1909 / 21H2 で確認。


2022.01.11

追記

Apple 方面 (iOS / ipadOS, tvOS, watchOS, macOS, Safari) (2021.12.16)

 MicrosoftがmacOSの脆弱性「powerdir」を解説 (PC Watch, 2021.01.11)。上記で修正された CVE-2021-30970 の解説。

2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)


2022.01.07

いろいろ (2022.01.07)
(various)

Node.js

  • January 10th 2022 Security Releases (node.js, 2022.01.04)。4 件のセキュリティ欠陥 (medium x 3、low x 1) を修正した Node.js 12.x, 14.x, 16.x, 17.x の更新版のリリースが予告されています。

Django

Wireshark

追記

2021 年 12 月のセキュリティ更新プログラム (月例) (2021.12.17)

 Windows Server 2012 R2 / 2016 / 2019 / 2022 において、更新プログラム適用後に「画面が黒くなる、ログオンが遅くなる、あるいは全般に処理が遅くなる」状況が発生することがあるそうで。定例外の更新プログラムが公開されています。


2022.01.06

Chrome Stable Channel Update for Desktop
(Google, 2022.01.04)

 Chrome 97.0.4692.71 が stable に。37 件のセキュリティ修正を含む。

 あわせて Extended Stable Channel で 96.0.4664.131 が公開 されている。


2022.01.02

 あけましておめでとうございます。


過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]