セキュリティホール memo

Last modified: Fri Jul 3 17:56:39 2020 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2020.07.03


2020.07.02

Firefox 78 / ESR 68.10.0 公開
(Mozilla, 2020.06.30)

 出ました。Firefox ESR 78 も出てます。


2020.07.01

Windows 10に画像ファイルを開くだけでコード実行が可能になる脆弱性が2件
(窓の杜, 2020.07.01)

 Microsoft Windows Codecs Library に欠陥があり、攻略画像ファイルを開くと任意のコードが実行される。 Exploitability Assessment: 2

 Exploitability Assessment: 2 なのに、なぜか定例外で更新。 よくわからんなあ。

 Acknowledgements に ZDI の Abdul-Aziz Hariri 氏が挙げられているので、 そのうち PUBLISHED ADVISORIES (ZDI) に掲載されるのかな。

 関連:


2020.06.30


2020.06.29


2020.06.25

いろいろ (2020.06.25)
(various)

NTP

  • https://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ChangeLog-stable (udel.edu, 2020.06.23 更新)。戸井さん情報ありがとうございます。

    (4.2.8p15) 2020/06/23 Released by Harlan Stenn <stenn@ntp.org>
    (4.2.8p15) 2020/06/23 Released by Harlan Stenn <stenn@ntp.or>

    * [Sec 3661] memory leak with AES128CMAC keys <perlinger@ntp.org>

curl


2020.06.24

いろいろ (2020.06.24)
(various)

EC-CUBE 3.x / 4.x

三菱電機方面

Drupal

Intel

Chrome Stable Channel Update for Desktop
(Google, 2020.06.22)

 Chrome 83.0.4103.116 公開。2 件のセキュリティ修正を含む。


2020.06.23


2020.06.22


2020.06.19

Adobe 方面 (Campaign Classic, After Effects, Illustrator, Premiere Pro, Premiere Rush, Audition)
(Adobe, 2020.06.16)

 出ました。


2020.06.18

BIND 方面 2 件 (remote から DoS 攻撃が可能)
(JPRS, 2020.06.18)

 出ました。


2020.06.17


2020.06.16


2020.06.15

JVNTA#95827565 - UPnP プロトコルを実装した機器に対する攻撃手法について(CallStranger)
(JVN, 2020.06.09)

 UPnP プロトコル仕様に欠陥。SUBSCRIBE メッセージの callback URL になんでも指定できるので、これを使った DDoS 攻撃が可能。 CVE-2020-12695

 指摘を受けて、仕様が 2020.04.17 に改訂された。

報告者は、UPnP プロトコルを管理している OCF に報告を行っており、OCF では UPnP Architecture ドキュメントの改訂を検討しています。現在、「UPnP Device Architecture version 2.0」の2020年4月17日改訂版が公開されており、section 4.1.1 において

「登録メッセージが指定する通知先 URL は、同一ネットワークセグメント内を指すもの以外は受け付けてはいけない(shall not)」
("The subscription request containing a delivery URL not on the same network segment as the fully qualified event subscription URL shall not be accepted.")

 関連:

追記

2020 年 6 月のセキュリティ更新プログラム (月例) (2020.06.14)

いろいろ (2020.06.15)
(various)

adns

VMware ESXi, Workstation, Fusion


2020.06.14

2020 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2020.06.10)

 出ました。今回も Windows Defender が含まれてますね。

Microsoft Windows
Microsoft Edge (EdgeHTML-based)
Microsoft Edge (Chromium -based)
ChakraCore
Internet Explorer
Microsoft Office、Microsoft Office Servers および Web Apps
Windows Defender
Microsoft Dynamics
Visual Studio
Azure DevOps
HoloLens
Adobe Flash Player
Microsoft Apps for Android
Windows App Store
System Center
Android App

 関連:

 印刷関連で不具合ですか……。

2020.06.15 追記:

 関連:


2020.06.12

いろいろ (2020.06.12)
(various)

LibreOffice

SONY Bluetooth ヘッドホン


2020.06.10

Adobe 方面 (Flash Player, Experience Manager, Framemaker)
(Adobe, 2020.06.09)

 出ました。

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2020.06.03)

 Chrome 83.0.4103.97、そういえば出てました。2万ドルの CVE-2020-6493 など 5 件が修正されてます。 iida さん情報ありがとうございます。


2020.06.05

いろいろ (2020.06.05)
(various)

nghttp2

GnuTLS

追記

Firefox 77 / ESR 68.9.0 公開 (2020.06.03)

 関連:

NXNSAttack: upgrade resolvers to stop new kind of random subdomain attack (2020.05.20)

 関連:

お名前.com Naviで発生した事象につきまして (2020.06.04)

 コインチェックだけではなかった模様。

 それにしても。両社ともお名前.com なんだ……。


2020.06.04

SYMSA1762 - Symantec Endpoint Protection Security Update
(Broadcom, 2020.05.11)

 SEP 14.3 には複数のセキュリティ修正が含まれていたそうで。SEPM x 3、 SEP x 2。

お名前.com Naviで発生した事象につきまして
(お名前.com, 2020.06.03)

 お名前.com Navi にセキュリティ欠陥 (修正済)。

お名前.comをご利用のお客様の管理画面が不正にアクセスされ、ご登録いただいている情報が書き換えられるという事案が発生しました。

これについて調査を行ったところ、悪意のある第三者が、当該お客様のIDと、「お名前.com Navi」における通信を改ざんできる不具合(※)を利用して、お客様のお名前.com会員情報(メールアドレス)を書き換えたことが判明しました。

なお、調査により、他のお客様については影響がないことを確認しております。
また、本事象の対象のお客様とは連絡が取れ、正しい情報に修正済みとなります。
※個人情報が閲覧できる、あるいは通常のブラウザ上の操作で悪用できる不具合ではありません。

 明記されていないが、コインチェックが不正アクセスされた件のことだろう。 コインチェック側の落度ではなかった、ということか。

2020.06.05 追記:

 コインチェックだけではなかった模様。

 それにしても。両社ともお名前.com なんだ……。


2020.06.03

Firefox 77 / ESR 68.9.0 公開
(Mozilla, 2020.06.02)

 出ました。

2020.06.05 追記:

 関連:


2020.06.02

追記

いろいろ (2020.06.01) Trend Micro Common Module (tmcomm.sys)

いろいろ (2020.06.02)
(various)

VMware ESXi, Workstation, Fusion, VMware Remote Console for Mac, Horizon Client for Mac

Apple 方面 (iOS / ipadOS, watchOS, tvOS, macOS)
(Apple, 2020.06.01)

 リリースされたばかりのiOS 13.5を脱獄可能にする「unc0ver」が公開 (gigazine, 2020.05.25) (CVE-2020-9859) への対応だそうです。


2020.06.01

いろいろ (2020.06.01)
(various)

Trend Micro Common Module (tmcomm.sys)

2020.06.02 追記:

FFmpeg


過去の記事: 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]