セキュリティホール memo

Last modified: Fri Mar 22 18:34:45 2019 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在56票)
中山信弘「ソフトウェアの法的保護」 (現在116票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2019.03.22

いろいろ (2019.03.22)
(various)

Drupal

RubyGems

追記

Firefox 66.0 / ESR 60.6.0 公開 (2019.03.20)

 Thunderbird 60.6.0 も出たそうなのですが、セキュリティ修正は含まれない?!


2019.03.20

追記

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索 (2019.03.05)

 関連:

  • 「あなたブラクラ貼ったでしょ?」→39歳男性を書類送検 検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (ねとらぼ, 2019.03.20)。兵庫県警が本当にクソすぎる件。

     しかし、その後自分で色々と調べてみたら私が貼ったURLはいわゆるブラクラではなく、アラートスクリプトであったことが分かりました。つまりウイルス罪の要件を満たしていない可能性があるということです。それなのにどう喝役とみられる男性刑事からは「あなたがやったことはね、これだけ大きな罪なんですよ!」と本当に私が悪いことをしてしまったかのような態度ですごまれたり、反省を促されたりと非常に悔しい思いをしました。繰り返しになりますが、兵庫県警は今回のURLについて「ブラクラにあたる」と私に何度も説明していました。だからこそ当時知識のなかった私は「ブラクラにあたるのであれば、反省します」と話したんです。

     また取り調べの終盤には、チーフの刑事から「いや〜あなたが素直に認めてくれてこっちも助かったよ! プログラミングとかに詳しかったらどうしようかと思っていたけどね」というような言葉もありました。今にして思えば、プログラミングに関する知識のある人が相手だと、今回の摘発が不当である事実を突きつけられる可能性があったから、刑事の誘導尋問通りにズルズルと答えてしまっていた知識の乏しい私に対して、最後の最後でつい口が滑ってしまったのではないかと思います。

    本当に弱い者いじめしかできないんですね。兵庫県警。

  • 検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に該当しないのか その3) (高木浩光@自宅の日記, 2019.03.19)

Firefox 66.0 / ESR 60.6.0 公開
(Mozilla, 2019.03.19)

 出ました。

2019.03.22 追記:

 Thunderbird 60.6.0 も出たそうなのですが、セキュリティ修正は含まれない?!


2019.03.19


2019.03.18

追記

電話番号やメールアカウントを入力するだけで何百台ものiPhoneをリモートからハッキングできるツール「Karma(カルマ)」をUAEが秘密裏に運用していたことが明らかに (2019.01.31)

いろいろ (2019.02.21) WinRAR (2019.02.21)

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索 (2019.03.05)

 2019.03.13 追記のつづき:

  • 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その2) (ろば電子が詰まつてゐる, 2019.03.14)

  • 勉強会の活動休止のお知らせ (すみだセキュリティ勉強会, 2019.03.15)

    私は勉強会で、時にはマジメに、時には冗談まじりに何度か強調しましたが、この勉強会から絶対に逮捕者を出したくないのです。しかし、もはや私の各県警に対する信頼は地に落ちているため、「発表だけで逮捕なんてことはないでしょう」と楽観視できない状態です。最近は学生さんの参加も増えましたが、若い内に逮捕歴が付くとアメリカに渡りたくてもビザが降りないなど、人生設計が狂うほどの影響があります。

 あとこちら: しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか (高木浩光@自宅の日記, 2019.03.16)。 詳細かつギョッとする内容。

このシーンをあえて掲載しているのだから、この無限forkのスケッチも2号不正指令電磁的記録として扱ったということではないか。
(中略)
こんなものまで2号不正指令電磁的記録として扱ったなら、宮城県警と福井県警は狂っているとしか言いようがない。君らは子供のときに趣味すら持ったことがないのか。こんなものに目的犯としての目的は認められない。

2019.03.15

追記

通信機器調達、安保リスク重視 政府が指針 中国製念頭 (2018.12.07)


2019.03.14

いろいろ (2019.03.14)
(various)

Huawei P20

Intel CPU

Intel CSME, Active Management Technology, Graphics Driver for Windows, Firmware, Matrix Storage Manager, SGX SDK, USB 3.0 Creator Utility, Accelerated Storage Manager in RSTe

 (脱字修正: 池田さん情報ありがとうございます)

Windows 7

Notepad++


2019.03.13

2019 年 3 月のセキュリティ更新プログラム (月例)
(Microsoft, 2019.03.13)

 Microsoft 月例更新。 IE / Edge, Windows, Office, Flash Player, ChakraCore, Team Foundation Server, Skype for Business, Visual Studio, NuGet 。

 関連:

2019.03.22 追記:

 関連:

Adobe 方面 (Photoshop CC, Adobe Digital Editions)
(Adobe, 2019.03.12)

 いずれも Priority: 3。

 あと、セキュリティ修正はないが Flash Player が更新されている。

Chrome Stable Channel Update for Desktop
(Google, 2019.03.12)

 Chrome 73.0.3683.75 が stable に。60 件のセキュリティ修正を含む。

追記

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索 (2019.03.05)


2019.03.12

追記

いろいろ (2019.03.06) - Chrome


2019.03.11


2019.03.08


2019.03.07

追記

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索 (2019.03.05)

 関連:


2019.03.06

追記

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索 (2019.03.05)

 関連:

  • 「IT業界の萎縮を招きかねない」 “ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた (ねとらぼ, 2019.03.05)。電羊法律事務所の平野敬弁護士。

    附帯決議は「捜査等に当たっては、憲法の保障する表現の自由を踏まえ、ソフトウエアの開発や流通等に対して影響が生じることのないよう、適切な運用に努めること」などを求める内容となっています。(中略) 迷惑ではあっても、システム破壊や個人情報流出など深刻な被害をもたらすものではなく、タブを閉じたりブラウザを終了すれば停止できるプログラムであり、「まさに立法時に境界ケースとして挙げられていたジョークプログラムの一種にあたるもの」と同弁護士。「こうしたささいないたずらまで刑法犯として摘発することは、附帯決議の要請に反しますし、我が国のIT業界の萎縮を招きかねません」と摘発の正当性に疑問を投げかけています。
  • Japanese police charge 13-year-old for sharing 'unclosable popup' prank online (Catalin Cimpanu / ZDNet, 2019.03.05)

    関連: ZDNet 海外記事「Japanese police charge 13-year-old for sharing 'unclosable popup' prank online」への反応 (togetter, 2019.03.06)

  • 覚書:「不正プログラム書き込み疑い補導」という記事について (雑記――刑事法学の研究と教育を巡って, 2019.03.05)

  • 「ジョークプログラムで書類送検・補導」報道に思う各方面のいろんな問題 (中條 剛, 2019.03.06)

  • 前田恒彦さんのページ (Yahoo!ニュース, 3/5)。同じ内容のツイートは削除されたようです。

    通常であればスルーされるようなイタズラ事案とも言えますが、2/1~3/18は政府が提唱する「サイバーセキュリティ月間」であり、警察もこの種のケースを挙げてマスコミに報道させ、こんなものでも警察が本気になることがあるよ、とPRする必要があるわけです。

    何言ってるんだろう。わけがわからない。

  • 各種ツイート:

いろいろ (2019.02.13) runc

いろいろ (2019.03.06)
(various)

ColdFusion

  • Security updates available for ColdFusion | APSB19-14 (Adobe, 2019.03.01)。CVE-2019-7816。ファイルのアップロードにおける制限を回避でき、結果として任意のコードを実行される。exploit が公開されている。Severity: Critical, Priority rating: 1

    Note: This attack requires the ability to upload executable code to a web-accessible directory, and then execute that code via an HTTP request. Restricting requests to directories where uploaded files are stored will mitigate this attack.

    ColdFusion 2018 Update 3、ColdFusion 2016 Update 10、ColdFusion 11 Update 18 で修正されている。

  • Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起 (JPCERT/CC, 2019.03.04)

2019.03.08 追記:
  • Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起 (JPCERT/CC, 2019.03.04) が 2019.03.08 に改訂された。 記述の明確化。

    (訂正前)攻撃者が本脆弱性を悪用することで、ファイルアップロードの制限を回避して Web から閲覧可能なディレクトリにファイルをアップロードすることができます。結果として、攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

    (訂正後)攻撃者が本脆弱性を悪用することで、特定の設定が施された ColdFusion の実行サーバにおいて、ファイルアップロードの制限を回避してファイルをアップロードすることができます。ファイルのアップロード先を Web から閲覧可能なディレクトリに指定している場合、そのファイルを遠隔から開くことで攻撃者が ColdFusion の実行ユーザの権限において任意のコードを実行する可能性があります。

macOS

Android

Node.js

各種 OS での、DMA 攻撃に対する Thunderbolt 防御実装

OpenSSL 1.0.2

Google Chrome

2019.03.12 追記:

 CVE-2019-5786 の件。

Wireshark


2019.03.05

兵庫県警サイバー犯罪対策課、ジョークページの URL を記載しただけの女子中学生らを補導 / 家宅捜索
(various, 2019.03.04)

 Chrome, Firefox, Edge など、いまどきのまともなブラウザーなら、いたずらにすらならないページ。2019 年になっていまさら? 製作者ではなくリンクした人を? 馬鹿な。

 報道:

 まとめ:

 関連:

2019.03.06 追記:

 関連:

2019.03.07 追記:

 関連:

2019.03.13 追記:

 関連:

2019.03.18 追記:

 2019.03.13 追記のつづき:

 あとこちら: しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか (高木浩光@自宅の日記, 2019.03.16)。 詳細かつギョッとする内容。

このシーンをあえて掲載しているのだから、この無限forkのスケッチも2号不正指令電磁的記録として扱ったということではないか。
(中略)
こんなものまで2号不正指令電磁的記録として扱ったなら、宮城県警と福井県警は狂っているとしか言いようがない。君らは子供のときに趣味すら持ったことがないのか。こんなものに目的犯としての目的は認められない。

2019.03.20 追記:

 関連:


2019.03.01


過去の記事: 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]