セキュリティホール memo

Last modified: Thu Sep 20 19:04:27 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.09.20

BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)
(JPRS, 2018.09.20)

 BIND 9.x に欠陥。

場合に欠陥が発現。remote から Dynamic Update を使って zone データを不正に更新できる。

 BIND 9.11.5 / 9.12.3 で修正される予定 (未リリース)。 で、

▼一時的な回避策
named.confにおいて当該機能を設定している場合、設定の追加が必要になります。詳細については、ISCから発表されている情報を参照してください。

と書かれているのだけど、CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain (ISC) にある

Workarounds:
To limit updates to a subset of a zone -- for example, "sub.example.com" -- create a new "sub.example.com" child zone beneath "example.com", and set the desired update-policy in the child zone rather than the parent.

って結局どういうことなんだろう。krb5-subdomain / ms-subdomain を使うのをやめて、 krb5-self / ms-self で書き直すってこと?

Security bulletin for Adobe Acrobat and Reader | APSB18-34
(Adobe, 2018.09.19)

 Adobe Acrobat / Reader for Windows / Mac、更新出ました。セキュリティ修正は 7 件。 0-day は無いようです。Priority Rating は 2。

追記

Apple、トレンドマイクロ製アプリを Mac App Store から削除 (2018.09.18)

 どうやら、ウイルスバスター モバイル(iOS版) が iOS 12 で不具合を起こしているようです。


2018.09.19

追記

2018 年 9 月のセキュリティ更新プログラム (月例) (2018.09.12)

 Windows 10 version 1709 / 1803 で問題があり、KB4464217 / KB4464218 で修正されたそうで。

  • September 17, 2018—KB4464217 (OS Build 16299.666) (Microsoft)。version 1709 用。

    • Addresses an issue that may prevent a VPN connection from establishing for some users that are using VPN with IKEv2. The connection fails with the error, “Remote Access Error 809.”
    • Addresses a Microsoft Intune issue that occurs after installing any of the updates released between July 24, 2018 and September 11, 2018. Windows no longer recognizes the Personal Information exchange (PFX) certificate that’s used for authenticating to a Wi-Fi or VPN connection. As a result, Microsoft Intune takes a long time to deliver user profiles because it doesn’t recognize that the required certificate is on the device.
  • September 17, 2018—KB4464218 (OS Build 17134.286) (Microsoft)。version 1803 用。version 1709 用の、後者と同じ問題の修正。

「Acrobat Reader DC」などの最新版に未修正の脆弱性 ~Adobeが修正を予告  米国時間9月19日にセキュリティアップデートをリリース
(窓の杜, 2018.09.18)

 すわ 0-day か?! と思ったが、 Prenotification security advisory for Adobe Acrobat and Reader | APSB18-34 にはそういった記述はないし、Priority も 2 なので、不具合が発生したか何かで定例更新に間にあわなかったというだけの話なのかなあ。


2018.09.18

Apple、トレンドマイクロ製アプリを Mac App Store から削除
(various)

 最初話題になったのは「Adware Doctor」というアプリだったのだけど、

 似たような話がトレンドマイクロ製の Dr. シリーズアプリなどにもあるぜという話になり、炎上。結果として、Dr シリーズだけでなく、トレンドマイクロ製アプリ一般が削除されまくっている。

 トレンドマイクロ オフィシャル:

2018.09.20 追記:

 どうやら、ウイルスバスター モバイル(iOS版) が iOS 12 で不具合を起こしているようです。

Apple 関連 (iOS, tvOS, watchOS, Safari, Apple Support, iTunes)
(Apple, 2018.09.17)

 出てます。

 この他に、2018.09.12 公開の iTunes 12.9 for Windows にもセキュリティ修正が含まれるようです。https://support.apple.com/en-us/HT201222 では「details available soon」となっています。

 関連:


2018.09.16


2018.09.14

追記

いろいろ (2018.08.29) (Ghostscript)

 Ghostscript 9.25 が公開されました。

  • Version 9.25 (2018-09-13) (Ghostscript.com, 2018.09.13)。9.24 におけるセキュリティ修正で生じた不具合の修正に加え、複数のセキュリティ修正が新たに行われているようです。

    This release fixes problems with argument handling, some unintended results of the security fixes to the SAFER file access restrictions (specifically accessing ICC profile files), and some additional security issues over the recent 9.24 release.
  • Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起 (JPCERT/CC, 2018.09.14 更新)


2018.09.13

いろいろ (2018.09.13)
(various)

Intel

curl

Adobe 方面 (Flash Player, ColdFusion)
(Adobe, 2018.09.11)

Flash Player

ColdFusion

JVNVU#99302544 - LAN における DNS 動的登録・更新および、機器の自動検出機能に複数の問題
(JVN, 2018.09.06)

 wpad やら isatap やらの件再び。Dynamic DNS 機能を持つルーターが問題になるみたい。

家庭やオフィスで使用されている (Google WiFi や Ubiquiti UniFi 等を含む一般的な) ルータでは、多くの場合 DNS の動的登録・更新機能が使用されています。 (中略) WPAD によるプロキシ自動設定については、いわゆる野良 DHCP サーバや、より高位の DNS サーバにおいては問題とされてきましたが、LAN/WLAN 内部における自動設定機能については言及されていませんでした。

 VU#598349 では ADTRAN, Synology, Ubiquiti Networks が affected になっている。 いずれも修正ファームウェアを公開済みたい。


2018.09.12

Stable Channel Update for Desktop
(Chrome Releases Blog, 2018.09.11)

 Chrome 69.0.3497.92 登場。2 件のセキュリティ修正を含む。 www. や m. がアドレスバーの表示から省略される件も修正されている。

2018 年 9 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2018.09.12)

 Microsoft 2018.09 月例出ました。IE / Edge, Windows, Office, ChakraCore, Flash Player, .NET Framework, Microsoft.Data.OData, ASP.NET。

 識者のページ。大きな問題はなさそう。

2018.09.19 追記:

 Windows 10 version 1709 / 1803 で問題があり、KB4464217 / KB4464218 で修正されたそうで。


2018.09.11

追記

Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057) (2018.08.27)

いろいろ (2018.09.11)
(various)

マイクロネット INplc (リアルタイム・ソフトウェア PLC)

 INplc SDK Express 3.09、INpic SDK Pro+ 3.09、INplc-RT 3.09 で修正されている。

サイボウズ Garoon

Apache Traffic Server

 最新版 7.1.4 (2018.08.01)、6.2.3 (2018.08.04) において複数の欠陥が修正されている。

phpMyAdmin

AirWatch Agent for iOS、VMware Content Locker for iOS

VMware Workstation, Fusion

Norton Identity Safe for Android


2018.09.10

いろいろ (2018.09.10)
(various)

MEGA Chrome extension

Windows タスクスケジューラ


2018.09.07


2018.09.06

Firefox 62.0 / ESR 60.2.0 公開
(Mozilla, 2018.09.05)

 出ました。

追記

いろいろ (2018.08.29) Ghostscript

 対応版がリリースされました。


2018.09.05

Stable Channel Update for Desktop
(Chrome Releases, 2018.09.04)

 Chrome 69.0.3497.81 公開。40 件のセキュリティ修正を含む。 関連:

2018.09.06 追記:

 グーグル、「Chrome 69」安定版に不鮮明なフォントの問題--原因を調査中 (CNET, 2018.09.06)

いろいろ (2018.09.05)
(various)

VLC media player

GeForce Experience


2018.09.03


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]