セキュリティホール memo

Last modified: Thu Apr 27 15:21:09 2017 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2017.04.27


2017.04.26

追記

【緊急警報】Amazonで世界規模の大中華詐欺が勃発中!! 被害者にならないために (2017.04.25)

 https://sellercentral.amazon.co.jp/forums/thread.jspa?threadID=7135&start=90&tstart=0&sortBy=date の「マルコ」さんの 2017/04/26 09:17 の投稿によると、

とうとう当店では当社のつけている値段が高すぎる という理由で出品停止になった商品が出始めました。(中略) 昨日驚いてテクニカルサポートに電話をしたら、電話に出た若いサポートの男性が、今回の騒動について何も知らなかったことにもっと驚きました。その若い社員は ことの顛末を聞いて慌てふためいて、少々お待ちください を繰り返しながら 何やら奥で確認していたようでしたが 解決には至らず、今朝また2商品が出品停止になっていました。

と、正当な価格で販売すると ban される事態が発生している模様です。 終息にはほど遠い感じ。

「Windows」システムファイルをマルウェアと誤検出、障害多数--「Webroot」で
(ZDNet, 2017.04.26)

 Webroot のアンチウイルス製品が 2017.04.24 (US時間) に OS のファイルなどを W32.Trojan.Gen として誤検出しはじめた模様。誤検出するルール自体は既に修正されたのだが、影響が広範囲に発生し、いまだ終息してはいない模様。 これとは別に、Facebook.com などがブロックされる事象が発生し、Webroot はハッキングされているのではと疑う利用者も出ている。


2017.04.25

【緊急警報】Amazonで世界規模の大中華詐欺が勃発中!! 被害者にならないために
(More Access! More Fun!, 2017.04.25)

 Amazon マーケットプレイスの件。アカウントを乗っ取られた上に、「怪しい業者」にされてしまう事例が増えているようです。利用者としては、安すぎる商品には注意と。 事態が鎮静化するまでは Amazon.co.jp 販売品のみにした方が安全か。

2017.04.26 追記:

 https://sellercentral.amazon.co.jp/forums/thread.jspa?threadID=7135&start=90&tstart=0&sortBy=date の「マルコ」さんの 2017/04/26 09:17 の投稿によると、

とうとう当店では当社のつけている値段が高すぎる という理由で出品停止になった商品が出始めました。(中略) 昨日驚いてテクニカルサポートに電話をしたら、電話に出た若いサポートの男性が、今回の騒動について何も知らなかったことにもっと驚きました。その若い社員は ことの顛末を聞いて慌てふためいて、少々お待ちください を繰り返しながら 何やら奥で確認していたようでしたが 解決には至らず、今朝また2商品が出品停止になっていました。

と、正当な価格で販売すると ban される事態が発生している模様です。 終息にはほど遠い感じ。


2017.04.24

いろいろ (2017.04.24)
(various)

cURL

Squirrelmail


2017.04.21

追記

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)

 GMO ペイメントゲートウェイの件。

JVN#54268888 - 花子を含む複数の製品における任意の DLL 読み込みに関する脆弱性
(JVN, 2017.04.20)

 花子 2015〜2017 / Pro 3、JUST Office 3 等に欠陥。DLL 読み込みにおける検索パスの処理に欠陥があり、予期しない DLL を読み込んでしまう可能性がある。 結果として、攻撃者による DLL が読み込まれて任意のコードが実行される恐れがある。 CVE-2017-2154

 維持されている製品についてはアップデートモジュールが公開されている。

Phishing with Unicode Domains
(Xudong Zheng, 2017.04.14)

 国際化ドメイン名を悪用するフィッシングの可能性は、以前から指摘されている。 ブラウザ側でも対抗策として、たとえばキリル文字と ASCII 文字が混合するような国際化ドメイン名の場合は、その解釈を行わずにアドレスバーに表示したりする。例として、apple.com っぽく表示されそうだけどそうはならない xn--pple-43d.com が挙げられている。

 しかし、たとえばキリル文字だけで構成して xn--80ak6aa92e.com とすると、これは apple.com っぽくアドレスバーに表示されてしまう、という指摘。PoC にアクセスして確認されたい。こういうドメイン名を実際に取得できる、と。

 関連:


2017.04.20

Firefox 53.0 / ESR 52.1.0 公開
(Mozilla, 2017.04.19)

 出ました。iida さん情報ありがとうございます。

Oracle Critical Patch Update Advisory - April 2017
(Oracle, 2017.04.18)

 Oracle 四半期更新来ました。 299 件の新たなセキュリティ修正を実施。iida さん情報ありがとうございます。

 Java は 8u131 が公開されています。


2017.04.19


2017.04.18


2017.04.14

2017 年 4 月のセキュリティ更新プログラム (月例)
(Microsoft, 2017.04.12)

 今回から表記のされ方が変わってます。

新規のセキュリティ情報は公開されなくなり、セキュリティ更新プログラム ガイドからの情報提供となります。利用方法についてご不明点がある場合は、セキュリティ更新プログラム ガイド ダッシュボードと API のよく寄せられる質問をご確認ください。

 「詳細」をチェックして CVE 番号等のリンクを表示させ、クリックすると詳細情報を得られます。

 Windows Vista は今回の更新でサポート終了です。合掌。

 あと、AMD Carrizo DDR4 上で Windows 7 / 8.1 / Server 2008 R2 / Server 2012 R2 を利用している場合、今回のセキュリティ更新プログラムをインストールすると、サポートしていないハードウェアだと表示されるようになることが明らかとなっています。 修正プログラムは開発中です。

いろいろ (2017.04.14)
(various)

IO DATA

追記

CIA Vault 7 方面 (2017.03.10)

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)

 被害事例: 総務省 e-Stat「地図による小地域分析(jSTAT MAP)」


2017.04.13

BIND ねた 3 件 (CVE-2017-3136, CVE-2017-3137, CVE-2017-3138)
(JPRS, 2017.04.13)

 3 つ来ました。内 1 つが「緊急」にランクされています。

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137) - バージョンアップを強く推奨 - (JPRS, 2017.04.13)

 BIND 9.9.9-P6、9.10.4-P6、9.11.0-P3、9.9.9-S8 に欠陥。DNS 応答の処理に欠陥があり、「CNAMEまたはDNAMEレコードが含まれる応答のanswer secion内のレコードの順序が異常」である場合に named が異常終了する。 CVE-2017-3137

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136) - 特定のオプションを設定してDNS64を使用している場合のみ対象、 バージョンアップを推奨 - (JPRS, 2017.04.13)

 BIND 9.8.0〜9.8.8-P1、9.9.0〜9.9.9-P6、9.10.0〜9.10.4-P6、9.11.0〜9.11.0-P3、9.9.3-S1〜9.9.9-S8 に欠陥。DNS64 を break-dnssec yes; オプションと共に利用している場合、named が異常終了する。CVE-2017-3136

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138) - バージョンアップを推奨 - (JPRS, 2017.04.13)

 BIND 9.9.9〜9.9.9-P7、9.10.4〜9.10.4-P7、9.11.0〜9.11.0-P4、9.9.9-S1〜9.9.9-S9 に欠陥。制御チャンネルの入力処理に欠陥があり、空 (NULL) コマンド文字列が制御チャンネルに送られると named が異常終了する。 CVE-2017-3138

 BIND 9.9.9-P8、9.10.4-P8、9.11.0-P5、9.9.9-S10 で修正されている。

JVNVU#90211511 - Apache Tomcat の複数の脆弱性に対するアップデート
(JVN, 2017.04.12)

 Tomcat 9.0.0.M19 / 8.5.13 / 8.0.43 / 7.0.77 / 6.0.53 公開。 4 件のセキュリティ欠陥 CVE-2017-5647 CVE-2017-5648 CVE-2017-5650 CVE-2017-5651 を修正。iida さん情報ありがとうございます。

Tomcat
バージョン
情報漏洩
CVE-2017-5647
情報漏洩
CVE-2017-5648
DoS
CVE-2017-5650
情報漏洩
CVE-2017-5651
特記事項
9.0.0.M19 CVE-2017-5648 は 9.0.0.M18 で修正
8.5.13 CVE-2017-5648 は 8.5.12 で修正
8.0.43 CVE-2017-5648 は 8.0.42 で修正
7.0.77 CVE-2017-5648 は 7.0.76 で修正
6.0.53

 CVE-2017-5648 が示されているのは JVN 内部の都合か?

APSB17-09 - Security update available for Adobe Campaign
(Adobe, 2017.04.11)

 Windows 版および Linux 版 Adobe Campaign v6.11 Build 8770 以前にセキュリティ欠陥 CVE-2017-2989。入力値検証を回避し、Campaign データベースからデータを読み書き削除できる。 v6.11 Build 8795 で修正。Priority rating: 2

APSB17-12 - Security updates available for Adobe Photoshop CC
(Adobe, 2017.04.11)

 Windows 版および Mac 版 Photoshop CC に 2 件のセキュリティ欠陥 CVE-2017-3004 CVE-2017-3005。 Photoshop CC 2017 18.1、および Photoshop CC 2015.5 17.0.2 (2015.5.2) で修正。Priority rating: 3

APSB17-13 - Security update available for the Creative Cloud Desktop Application
(Adobe, 2017.04.11)

 Windows 版 Creative Cloud デスクトップアプリに 2 件のセキュリティ欠陥 CVE-2017-3006 CVE-2017-3007 。 Creative Cloud 4.0.0.185 以降で修正。Priority rating: 3

APSB17-11 - Security Updates Available for Adobe Acrobat and Reader
(Adobe, 2017.04.11)

 Windows 版および Mac 版 Adobe Acrobat / Reader 更新。47 件のセキュリティ欠陥 CVE-2017-3011 CVE-2017-3012 CVE-2017-3013 CVE-2017-3014 CVE-2017-3015 CVE-2017-3017 CVE-2017-3018 CVE-2017-3019 CVE-2017-3020 CVE-2017-3021 CVE-2017-3022 CVE-2017-3023 CVE-2017-3024 CVE-2017-3025 CVE-2017-3026 CVE-2017-3027 CVE-2017-3028 CVE-2017-3029 CVE-2017-3030 CVE-2017-3031 CVE-2017-3032 CVE-2017-3033 CVE-2017-3034 CVE-2017-3035 CVE-2017-3036 CVE-2017-3037 CVE-2017-3038 CVE-2017-3039 CVE-2017-3040 CVE-2017-3041 CVE-2017-3042 CVE-2017-3043 CVE-2017-3044 CVE-2017-3045 CVE-2017-3046 CVE-2017-3047 CVE-2017-3048 CVE-2017-3049 CVE-2017-3050 CVE-2017-3051 CVE-2017-3052 CVE-2017-3053 CVE-2017-3054 CVE-2017-3055 CVE-2017-3056 CVE-2017-3057 CVE-2017-3065 を修正。

名称 トラック バージョン Priority rating
Acrobat DC / Acrobat Reader DC Continuous 2017.009.20044 2
Classic 2015.006.30306 2
Acrobat XI / Adobe Reader XI Desktop 11.0.20 2

APSB17-10 - Security updates available for Adobe Flash Player
(Adobe, 2017.04.11)

 Flash Player 25.0.0.148 公開。任意のコードの実行を招く 7 件のセキュリティ欠陥 CVE-2017-3058 CVE-2017-3059 CVE-2017-3060 CVE-2017-3061 CVE-2017-3062 CVE-2017-3063 CVE-2017-3064 を修正。Priority rating: Linux 版は 3、他は 1。


2017.04.12


2017.04.11

ProFTPd 1.3.6, 1.3.5e released
(ProFTPd, 2017.04.09)

 ProFTPd 1.3.6 / 1.3.5e が公開されています。 AllowChrootSymlinks off と設定しても回避できてしまう欠陥 CVE-2017-7418 が修正されています。戸井さん情報ありがとうございます。


2017.04.10


2017.04.07

いろいろ (2017.04.07)
(various)

Django

Tizen

追記

CIA Vault 7 方面 (2017.03.08)


2017.04.06

Over The Air: Exploiting Broadcom’s Wi-Fi Stack (Part 1)
(Project Zero, 2017.04.04)

 先日 iOS 10.3.1 で修正された件。 Android については Android Security Bulletin—April 2017 の 2017-04-05 security patch level で対応。


2017.04.05

追記

Firefox 52.0 / ESR 45.8.0、Thunderbird 45.8.0 公開 (2017.03.08)

 Thunderbird 52.0 出ました。 リリースノートダウンロード


2017.04.04

いろいろ (2017.04.04)
(various)

LastPass

 LastPass ブラウザー拡張 4.1.44 以降で対応。

IIS 6.0 (サポート終了済)

GIGABYTE BRIX

About the security content of iOS 10.3.1
(Apple, 2017.04.03)

 iOS 10.3.1 公開。(WiFi が届く?) 領域内にいる攻撃者が WiFi チップ上で任意のコードを実行できる、stack buffer overflow する欠陥を修正。CVE-2017-6975

 関連:


2017.04.03


過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]