セキュリティホール memo - 2016.09

Last modified: Thu Nov 17 12:50:34 2016 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2016.09.30


2016.09.29

追記

いろいろ (2016.09.02) 認証局 WoSign


2016.09.28

追記

OpenSSL Security Advisory [22 Sep 2016] (2016.09.23)

 LibreSSL でも、CVE-2016-6304 など を修正した 2.3.7 / 2.4.3 を公開。また最新の開発版 2.5.0 も公開されました。iida さん情報ありがとうございます。

緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2776) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 -
(JPRS, 2016.09.28)

 BIND 9.x に欠陥。DNS 応答の作成処理に欠陥があり、攻略 DNS クエリーによって BIND をクラッシュさせることが可能。権威 DNS サーバー、フルリゾルバーのどちらも影響を受ける。回避方法はない。CVE-2016-2776

 BIND 9.10.4-P3、9.9.9-P3 で修正されている。 関連:

2016.10.05 追記:

 CVE-2016-2776 の exploit が公開され、広汎な攻撃が行われている模様です。

 また BIND 9.11.0 が公開されました。CVE-2016-2776 の修正も含まれています。


2016.09.27

追記

OpenSSL Security Advisory [22 Sep 2016] (2016.09.23)

 OpenSSL Security Advisory [26 Sep 2016] (OpenSSL, 2016.09.26)。2016.09.22 の修正でエンバグしていた模様。 OpenSSL 1.1.0b、1.0.2j が公開されました。1.0.1u はそのままで問題ないみたい。 iida さん情報ありがとうございます。


2016.09.23

OpenSSL Security Advisory [22 Sep 2016]
(OpenSSL, 2016.09.22)

 OpenSSL 1.1.0a, 1.0.2i, 1.0.1u 公開。 OCSP Status Request extension を使って client から server に DoS 攻撃を実施できる欠陥 CVE-2016-6304 など 14 件のセキュリティ欠陥を修正。iida さん情報ありがとうございます。

2016.09.27 追記:

 OpenSSL Security Advisory [26 Sep 2016] (OpenSSL, 2016.09.26)。2016.09.22 の修正でエンバグしていた模様。 OpenSSL 1.1.0b、1.0.2j が公開されました。1.0.1u はそのままで問題ないみたい。 iida さん情報ありがとうございます。

2016.09.28 追記:

 LibreSSL でも、CVE-2016-6304 など を修正した 2.3.7 / 2.4.3 を公開。また最新の開発版 2.5.0 も公開されました。iida さん情報ありがとうございます。

追記

Apple 関係 (macOS Sierra 10.12, Safari 10, macOS Server 5.2, iCloud for Windows 6.0) (2016.09.22)

 Takeshi Nishio さんのツイート (情報ありがとうございます)


2016.09.22

Apple 関係 (macOS Sierra 10.12, Safari 10, macOS Server 5.2, iCloud for Windows 6.0)
(apple, 2016.09.20)

 出ました。

 OS X 10.11 以前の更新は今後どうなるんだろう。出なさそうだけど。

2016.09.23 追記:

 Takeshi Nishio さんのツイート (情報ありがとうございます)

いろいろ (2016.09.22)
(various)

Drupal

PHP

追記

Adobe 方面 (Flash Player, Adobe Digital Editions, AIR SDK & Compiler) (2016.09.14)


2016.09.21

Firefox 49.0 / ESR 45.4.0 公開
(Mozilla, 2016.09.20)

 出ました。

 関連:

2016.09.22 追記:


2016.09.20

 本日、龍谷大学は全学終日休講です。

追記

2016 年 9 月のセキュリティ情報 (月例) – MS16-104 〜 MS16-117 (2016.09.14)

 IE / Edge 0-day の件:

いろいろ (2016.09.20)
(various)

Symantec Decomposer Engine (多くの製品に影響)

Firefox, Tor Browser

Cisco IOS, IOS XE, IOS XR

Moodle

GnuTLS

横河電機 中小規模向けPLC計装システム STARDOM

ウイルスバスター クラウド


2016.09.19


2016.09.16


2016.09.15

いろいろ (2016.09.15)
(various)

Dropbear SSH

Apache Shiro

cURL

MySQL

VMware ESXi, Workstation, Fusion, Tools


2016.09.14

Adobe 方面 (Flash Player, Adobe Digital Editions, AIR SDK & Compiler)
(Adobe, 2016.09.13)

 今月は 3 種。

 関連:

2016.09.22 追記:

 IE11 で古いバージョンの Flash ActiveX コントロールのブロックを開始 (日本のセキュリティチーム, 2016.09.22)

Chrome Stable Channel Update for Desktop
(Google, 2016.09.13)

 Chrome 53.0.2785.113 公開。セキュリティ修正を含む。iida さん情報ありがとうございます。

2016 年 9 月のセキュリティ情報 (月例) – MS16-104 〜 MS16-117
(日本のセキュリティチーム, 2016.09.14)

 出ました。CVE 数で言うと 50 + Flash Player 修正分 24 26、となります。

 あと SA 2 件。

2016.09.20 追記:

 IE / Edge 0-day の件:


2016.09.13

いろいろ (2016.09.13)
(various)

PowerDNS

Wireshark

日本国内で、ガス消火設備の放射音がデータセンターのハードディスクを破壊する可能性についてメーカーが注意喚起済み。実験でも回復不能になる事象を確認
(publickey, 2016.09.13)

 ING銀行の基幹データセンター、消防訓練で消火ガス噴射の衝撃音が大量のハードディスクとサーバを破壊。ATMや決済サービスが停止に (publickey, 2016.09.13) のような事態は、日本でもふつうに発生しかねない模様。

仮設検証試験室を用いた実験では不活性ガス消火設備のガス放出時には最大で130デシベルを超える音圧の音が発生。この状況で市販のサーバに格納した2.5インチハードディスクが障害を発生し、回復不能になる事象が確認されています。つまり、ING銀行と同様の事象は日本でも十分に起こりうると考えられます。

 マジか……。窒素やハロンを放出するようなものを導入している場合は要注意と。 静音形噴射ヘッド (コーアツ) のような対策品が用意されているそうです。


2016.09.12


2016.09.09

WordPress 4.6.1 メンテナンス・セキュリティリリース
(WordPress, 2016.09.08)

 2 件のセキュリティ修正が含まれるそうです。


2016.09.08

いろいろ (2016.09.08)
(various)

libcurl

Plone

GraphicsMagick


2016.09.07


2016.09.06

JVNDB-2016-004512 - GNU Mailman のユーザオプションページにおけるクロスサイトリクエストフォージェリの脆弱性
(JVN, 2016.09.05)

 GNU Mailman 2.1.x に CSRF 欠陥。Mailman 2.1.23 で修正されている。

追記

国内の複数のウェブサイトでつながりにくい状況--「DNS amp」攻撃の疑い (2016.09.02)

 関連:


2016.09.05


2016.09.02

いろいろ (2016.09.02)
(various)

認証局 WoSign

2016.09.05 追記:
2016.09.29 追記:
2016.11.02 追記:
2016.11.17 追記:

 関連:

Symantec GeoTrust Security Center

ColdFusion

AKABEi SOFT2 製品

LINE PC版(Windows版)

sudoers (Red Hat, Fedora, Mageia)

WebKitGTK+

追記

2016 年 8 月のセキュリティ情報 (月例) – MS16-095 〜 MS16-103 (2016.08.10)

 MS16-098 更新プログラムを適用すると印刷関係で不具合が起こることがあるようです。更新プログラムが公開されています。

Chrome Stable Channel Update for Desktop
(Google, 2016.08.31)

 Chrome 53.0.2785.89 が stable に。33 件のセキュリティ修正を含む。

国内の複数のウェブサイトでつながりにくい状況--「DNS amp」攻撃の疑い
(CNET, 2016.09.02)

 なんだか狙い撃たれているサイトがあるようで。関連:

2016.09.06 追記:

 関連:

Apple 方面 (Safari, OS X)
(Apple, 2016.09.01)

 Safari と OS X 更新出ました。

 About the security content of iOS 9.3.5 の修正の OS X 向け版のようです。


2016.09.01


[セキュリティホール memo]
[私について]