セキュリティホール memo - 2018.08

Last modified: Mon Mar 30 12:18:31 2018 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2018.08.31


2018.08.29

いろいろ (2018.08.29)
(various)

Ghostscript

2018.09.06 追記:

 対応版がリリースされました。

2018.09.14 追記:

 Ghostscript 9.25 が公開されました。

  • Version 9.25 (2018-09-13) (Ghostscript.com, 2018.09.13)。9.24 におけるセキュリティ修正で生じた不具合の修正に加え、複数のセキュリティ修正が新たに行われているようです。

    This release fixes problems with argument handling, some unintended results of the security fixes to the SAFER file access restrictions (specifically accessing ICC profile files), and some additional security issues over the recent 9.24 release.
  • Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起 (JPCERT/CC, 2018.09.14 更新)

CubePDF

Samba

  • Samba Release History (Samba)。2018.08.14 付で Samba 4.8.4, 4.7.9, 4.6.16 公開。セキュリティ修正 5 件を含む。その後、2018.08.24 に Samba 4.8.5、2018.08.27 に Samba 4.7.10 公開。 これらは安定性向上のみの模様。

ヤマハ RT57i, RT58i, NVR500, RTX810, FWX120


2018.08.27

Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)
(IPA, 2018.08.24)

 はい、また Struts です。以下の条件を両方満たす場合、リモートから任意のコードを実行できるそうです。

 Struts 2.5.17 / 2.3.35 で修正されています。 関連:

2018.09.11 追記:


2018.08.24


2018.08.21

いろいろ (2018.08.21)
(various)

Intel CPU

Symantec Encryption Management Server

Silver Peak EdgeConnect

OpenSSH

Adobe 方面
(adobe, 2018.08.14)

Flash Player

Acrobat and Reader

  • Security Bulletin for Adobe Acrobat and Reader | APSB18-29 (Adobe, 2018.08.14)。2 件のセキュリティ欠陥を修正。Priority は 2。

    種別 更新版
    Acrobat DC / Acrobat Reader DC (Continuous Track) 2018.011.20058
    Acrobat 2017 / Acrobat Reader DC 2017 (Classic 2017) 2017.011.30099
    Acrobat DC / Acrobat Reader DC (Classic 2015) 2015.006.30448

Creative Cloud Desktop Application (installer)

Experience Manager

2018 年 8 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.08.15)

 IE / Edge, Windows, Office, SharePoint, ChakraCore, Flash Player, .NET Framework, Exchange, SQL Server, Visual Studio。 2018.07 月例更新 での Windows / .NET Framework の不具合の修正も含まれているそうで。

 先月はひどかったが、今月は、識者のページを見ても大きな不具合は出ていなさそう:

 あと、インストール時の注意点としてこんなのが:

UAC が有効になっているサーバー上で、Exchange 向けの更新プログラムを標準モード (管理者権限ではなく) で手動でインストールした際に、いくつかのファイルが正しく更新されず、OWA や ECP が正常に動作しない可能性があります。管理者権限で更新プログラムをインストールすることをお勧めします。詳細は、サポート技術情報 4340731 または 4340733 をご参照ください。

 関連:


2018.08.20


2018.08.17


2018.08.10

いろいろ (2018.08.10)
(various)

WPA2

PostgreSQL

Drupal

EC-CUBEペイメント決済モジュール、GMO-PG決済モジュール

Linux, FreeBSD

IO DATA ネットワークカメラ TS-WRLP、TS-WRLA、TS-WRLP/E

mingw-w64

VMware Horizon

来週の予定
(various)

 来週の予定です。

 8/12

 8/14

 8/15

 8/16


2018.08.09

追記

いろいろ (2018.05.02) Apple 方面

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5740) - deny-answer-aliases機能を有効にしている場合のみ対象、バージョンアップを推奨 -
(JPRS, 2018.08.09)

 BIND 9.7.0〜9.8.8 / 9.9.0〜9.9.13 / 9.10.0〜9.10.8 / 9.11.0〜9.11.4 / 9.12.0〜9.12.2 / 9.13.0〜9.13.2 に欠陥。deny-answer-aliases が有効な場合 (デフォルト: 無効)、DoS 攻撃を実施できる。 CVE-2018-5740

 deny-answer-aliases を無効にすることで回避できる。また BIND 9.9.13-P1 / 9.10.8-P1 / 9.11.4-P1 / 9.12.2-P1 で修正されている。


2018.08.08

いろいろ (2018.08.08)
(various)

Knot Resolver

Knot DNS


2018.08.07


2018.08.06


2018.08.03


2018.08.02

NSD time sensitive TSIG compare vulnerability
(NLnet Labs, 2018.07.30)

 NSD 4.1.22 以前に、鍵情報が漏洩する可能性がある欠陥 (Severity: Low)。 NSD 4.1.23 で修正だそうです。iida さん情報ありがとうございます。


2018.08.01


[セキュリティホール memo]
[私について]