セキュリティホール memo

Last modified: Fri Dec 14 17:14:25 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.12.14

Chrome Stable Channel Update for Desktop
(Google, 2018.12.12)

 Chrome 71.0.3578.98 公開。1 件のセキュリティ修正を含む。

Firefox 64.0 / ESR 60.4.0 公開
(Mozilla, 2018.12.11)

 出てました。iida さん情報ありがとうございます。

追記

2018 年 12 月のセキュリティ更新プログラム (月例) (2018.12.12)


2018.12.13

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:

ソフトバンク、通信障害の原因を公表 エリクソン製交換機ソフトの「期限切れ」 (2018.12.07)

 関連:

プリンターおよびスキャナーのWeb Configにおける脆弱性について
(EPSON, 2018.12.03)

 EPSON の複数のプリンター・スキャナーの Web Config (Web 設定機能) に複数の欠陥があり、 「別のウェブサイトにリダイレクトされる」「偽の情報が表示されたり、任意のスクリプトが実行されたりする」。

 修正版ファームウェアが公開されているので適用すればよい。対象機種:

スキャナー

  • DS-570W
  • DS-780N

カラリオプリンター

  • EP-10VA
  • EP-30VA
  • EP-707A
  • EP-708A
  • EP-709A
  • EP-777A
  • EP-807AB/AR/AW
  • EP-808AB/AR/AW
  • EP-879AB/AR/AW
  • EP-907F
  • EP-977A3
  • EP-978A3
  • EP-979A3
  • PF-70
  • PF-71
  • PF-81
  • PX-048A
  • PX-049A
  • PX-437A

エコタンク搭載モデル

  • EP-M570T
  • EW-M5071FT
  • EW-M660FT
  • EW-M770T

スマートチャージ

  • PX-S7050X
  • PX-S7070X
  • PX-M7050FX
  • PX-M7070FX
  • PX-M840FX
  • PX-S840X

ビジネスプリンター

  • PX-S7050
  • PX-S7050PS
  • PX-M7050F
  • PX-M7050FP
  • PX-M350F
  • PX-M650A
  • PX-M650F
  • PX-M680F
  • PX-M740F
  • PX-M741F
  • PX-M5040F
  • PX-M5041F
  • PX-S5040
  • PX-M780F
  • PX-M781F
  • PX-M840F
  • PX-M860F
  • PX-S05B/W
  • PX-S350
  • PX-S740
  • PX-S840
  • PX-S860

 関連:


2018.12.12

Security fix: phpMyAdmin 4.8.4 is released
(phpMyAdmin, 2018.12.11)

 予告されていた phpMyAdmin のセキュリティ修正出ました。 3 件のセキュリティ欠陥が修正されています。

 詳細は phpMyAdminの複数の脆弱性情報(Severe(重大): CVE-2018-19968, Moderate: CVE-2018-19969, CVE-2018-19970) (サイオス セキュリティブログ, 2018.12.12) をどうぞ。

2018 年 12 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.12.12)

 2018.12 定例出ました。 IE / Edge, Windows, Office, Exchange, ChakraCore, .NET Framework, Dynamics NAV, Visual Studio, Windows Azure Pack (WAP), Flash Player (APSB18-42 の件)。

 関連:

2018.12.14 追記:

 関連:

Security Bulletin for Adobe Acrobat and Reader | APSB18-41
(Adobe, 2018.12.11)

 Acrobat / Reader 更新版公開、多数のセキュリティ欠陥を修正。 Priority: 2

種別 更新版
Acrobat / Reader DC (Continuous Track) 2019.010.20064
Acrobat / Reader 2017 (Classic 2017) 2017.011.30110
Acrobat / Reader DC (Classic 2015) 2015.006.30461

 関連:


2018.12.11

追記

「Google+」が終了へ、18年3月に見つかった情報漏洩バグを今まで公表せず (2018.10.09)

 情報漏洩をもたらす別のバグが発見されたことから、消費者向け Google+ の閉鎖が 2019.08 から 2019.04 に前倒しされたそうで。


2018.12.10

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)

 関連:

ソフトバンク、通信障害の原因を公表 エリクソン製交換機ソフトの「期限切れ」 (2018.12.07)

 ソフトバンクが、プレス向けに説明会を開いたようです。 こういうのこそ、ネット中継すればいいのに。

 関連:


2018.12.07

通信機器調達、安保リスク重視 政府が指針 中国製念頭
(日経, 2018.12.07)

 日本政府もついにファーウェイ/ZTE 排除をはじめるようです。

政府関係者によると、通信機器などの調達はこれまで価格で判断する一般競争入札を基本としてきた。新指針では安全保障上のリスクを低減できるかどうかも考慮する。通信機器から機密情報が流出したり、システムが停止して機能不全になったりするリスクを抑える。

名指しはしないが、念頭に置くのは中国企業の製品だ。カナダ司法省は米政府の要請を受けて1日にファーウェイの創業者の娘である孟晩舟・副会長兼最高財務責任者(CFO)を逮捕した。米国が経済制裁を科すイランに製品を違法に輸出した疑いとされる。米国は同社に加え中興通訊(ZTE)や監視カメラ大手の杭州海康威視数字技術(ハイクビジョン)など5社を安保上のリスクがあるとして警戒を強めてきた。

日本政府関係者によると、ファーウェイによるイランへの製品輸出が事実なら日本の新指針に抵触し、同社は調達先から排除される。日本でも中国製の通信機器を使用している企業は少なくなく、調達禁止の製品が広がればサプライチェーンに影響を及ぼす可能性がある。

 これまでの動き:

 米、英、オーストラリア、ニュージーランド。 カナダはファーウェイ/ZTE 規制はやってないみたいだけど、そのかわりタイホですか。

 滝田洋一さんのツイート:

 Five Eyes ですか。確かに……。

2018.12.10 追記:

 関連:

2018.12.11 追記:

 関連:

2018.12.13 追記:

 関連:

追記

これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? (2018.11.30)

 unbound 1.8.2 リリースされました。 Unbound 1.8.2 released (unbound-users ML, 2018.12.04)

The nameserver records in large returned negative responses are scrubbed out of the packet to avoid fragmentation based DNS cache poisoning, from a report from T.Suzuki.

Apple 方面 (iOS, tvOS, Shortcuts, macOS, Safari, iTunes for Windows, iCloud for Windows) (2018.12.06)

 watchOS 出ました。

ソフトバンク、通信障害の原因を公表 エリクソン製交換機ソフトの「期限切れ」
(ITmedia, 2018.12.07)

 ソフトバンク 2018.12.06 13:39〜18:04 通信障害の主原因は、エリクソン製交換機内の証明書の期限切れ (!!!) だったそうで。 海外でも同時刻に同様の状況になったそうで。

 ITmedia 記事、最後の 1 行がすごい。こんな締めはなかなかない wwww

証明書の期限切れでは、IoT機器の「うんこボタン」が全品交換となったことが記憶に新しい。

 本記事と、うんこボタンの記事は、どちらも松尾公也記者が執筆している。

 関連報道:

2018.12.10 追記:

 ソフトバンクが、プレス向けに説明会を開いたようです。 こういうのこそ、ネット中継すればいいのに。

 関連:

2018.12.13 追記:

 関連:


2018.12.06

Apple 方面 (iOS, tvOS, Shortcuts, macOS, Safari, iTunes for Windows, iCloud for Windows)
(Apple, 2018.12.05)

 watchOS の更新が出てませんね。

2018.12.07 追記:

 watchOS 出ました。

Security updates available for Flash Player | APSB18-42
(Adobe, 2018.12.05)

 Flash Player 32.0.0.101 公開。32 系列になりました。2 件の欠陥 CVE-2018-15982 CVE-2018-15983 を修正。前者については、攻略コードが野に放たれている。 Priority: 1 (Linux 版は 3)。

 Solution の Product 欄に Adobe Flash Player Installer という項が新設されており、脆弱なもの: 31.0.0.108 以前、修正版: 31.0.0.122 となっている。 これは何だろう。この組みあわせは APSB18-35 で見られるものなのだが。 そういえば、APSB18-42 という番号も妙に古いのだよなあ。 前回の Flash 更新は APSB18-44 だった。


2018.12.05

SSRF(Server Side Request Forgery)徹底入門
(徳丸浩の日記, 2018.12.05)

 クラウド時代には、こういうのがふつうになるのかな。

いろいろ (2018.12.05)
(various)

Kubernetes

オムロン FA 統合ツールパッケージ CX-One

PostgreSQL

moodle

  • Moodle 3.5.3 and other minor versions released (moodle, 2018.11.12)

    Once again there are a number of GDPR improvements as well as other fixes. A reminder that the Policies and Data Privacy GDPR plugins on the plugin database are no longer being updated since they are now part of the stable releases and the updates are included in 3.5.3, 3.4.6 and 3.3.9.

    From Moodle 3.6 onwards (release scheduled for November 26th) we will no longer backport new privacy features to the stable releases.
  • MSA-18-0020: Login CSRF vulnerability in login form (moodle, 2018.11.19)

Samba

RICOH Interactive Whiteboard

EC-CUBE

パナソニック BN-SDWBP3

Cisco Prime License Manager、Cisco Energy Management Suite

Chrome Stable Channel Update for Desktop
(Google, 2018.12.04)

 Chrome 71.0.3578.80 が stable に。43 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。

 関連: 快適なWeb閲覧を妨げる悪質行為を遮断 ~「Google Chrome 71」が正式公開 (窓の杜, 2018.12.05)


2018.12.04

SYMSA1468 - Norton and SEP Multiple Issues
(Symantec, 2018.11.28)

 Norton, SEP, SEP SBE, SEP Cloud に複数の欠陥。


2018.12.03

いろいろ (2018.12.03)
(various)

PowerDNS Recursor

Wireshark

GPU side channel attacks

Google Chrome


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]