セキュリティホール memo

Last modified: Mon Feb 27 17:41:05 2017 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2017.02.27

JVNVU#98045645 - 一太郎シリーズにバッファオーバーフローの脆弱性
(JVN, 2017.02.27)

 一太郎 2010〜2016、一太郎 Pro / Pro 2 / Pro 3、一太郎 Government 6 / 7 / 8 等に 3 件の欠陥。jtd / xls / ppt ファイルの処理に欠陥があり、攻略 jtd / xls / ppt ファイルを開くと任意のコードが実行される。 CVE-2017-2789 CVE-2017-2790 CVE-2017-2791

 発見者による詳細情報が公開されている。CVE-2017-2790 については、電卓が実行されるデモ動画も掲載されている。

 更新モジュールが公開されている。

 上記によると、更新後にバージョン表示がこれ以降になっていれば、更新成功らしい。

対象 種別 バージョン表示
個人向け 一太郎 2016 26.0.3
一太郎 2015 25.0.5
法人向け 一太郎 Pro 3 3.1.2
一太郎 Pro 2 1.0.15
一太郎 Pro 1.0.13
一太郎 Government 8 3.1.2
一太郎 Government 7 1.0.15
一太郎 Government 6 1.0.13
一太郎 2011 創/一太郎 2011 21.0.11
一太郎 2010 1.0.1.13
一太郎ガバメント 2010 1.0.1.13
体験版 一太郎Pro 3 体験版 明記されていないが、多分 3.1.2

 個人向け製品で維持されているのは 2015 以降だけみたい。 手元の一太郎 2011 は個人向け製品のはずなのだが、「法人のお客様向け」の更新モジュールを適用できた、みたい (無保証だと思う)。JUST オンラインアップデートには流れてこなかった。(2017 に更新するか……)


2017.02.24

linux kernelに特権昇格の脆弱性( CVE-2017-6074 )
(サイオス OSS, 2017.02.23)

 Linux kernel 2.6.18 以降に欠陥。DCCP プロトコルの IPv6 実装に欠陥があり、メモリーの二重解放が発生。これを利用することで、local user による権限上昇が可能。

 修正版 kernel パッケージが公開されているディストリについては、適用して再起動すればよい。公開されていない場合は、dccp を無効化するなどして回避する。

 面さん情報ありがとうございます。


2017.02.23

About the security content of Logic Pro X 10.3.1
(Apple, 2017.02.21)

 GarageBand 10.1.6 で修正された件と同じ欠陥 CVE-2017-2374 が Logic Pro X にも。Logic Pro X 10.3.1 で修正。


2017.02.22

追記

APSB17-04 - Security updates available for Adobe Flash Player (2017.02.15)

Microsoft 2017 年 2 月のセキュリティ更新、問題発生により延期 (2017.02.15)


2017.02.21


2017.02.20


2017.02.17

OpenSSL Security Advisory [16 Feb 2017]
(OpenSSL, 2017.02.16)

 OpenSSL 1.1.0 系列に欠陥。おおもとのハンドシェイク時に encrypt-then-MAC を指定せず、再ネゴシエーションでのハンドシェイクで encrypt-then-MAC を指定すると、OpenSSL がクラッシュする (逆の場合も同様)。クライアントおよびサーバーに影響。 この欠陥は OpenSSL 1.0.2 系列には影響しない。 CVE-2017-3733

 OpenSSL 1.1.0e で修正されている。iida さん情報ありがとうございます。


2017.02.16

追記

Microsoft 2017 年 2 月のセキュリティ更新、問題発生により延期 (2017.02.15)

 2017 年 2 月のセキュリティ更新プログラム リリース (日本のセキュリティチーム, 2017.02.15) が 2/15 付で追記されていた。

2017/2/15 更新: 3 月の月例セキュリティ更新プログラム公開 (2017 年 3 月 14 日 (米国日付)) の一部として更新プログラムを配信する予定です。

 なんじゃそりゃ〜〜〜〜〜〜!!!!!!!!!!!!!! 今すぐ Flash Player だけでも配布すべきでしょ。こんなの絶対おかしいよ。


2017.02.15

いろいろ (2017.02.15)
(various)

AppGoat

BIND

PostgreSQL 9.6.2, 9.5.6, 9.4.11, 9.3.16 and 9.2.20 released!
(PostgreSQL, 2017.02.09)

 『This release includes fixes that prevent data corruption issues in index builds and in certain write-ahead-log replay situations』だそうです。更新しましょう。

About the security content of GarageBand 10.1.6
(Apple, 2017.02.13)

 OS X Yosemite v10.10 以降用の GarageBand 10.1.6 を公開。 攻略 GarageBand プロジェクトファイルを開くと任意のコードが実行される欠陥 CVE-2017-2374 を修正。

Adobe 方面 (Adobe Digital Editions, Adobe Campaign)
(Adobe, 2017.02.14)

 Adobe Digital Editions, Adobe Campaign の更新出ています。

APSB17-04 - Security updates available for Adobe Flash Player
(Adobe, 2017.02.14)

 Flash Player 24.0.0.221 公開。13 件のセキュリティ欠陥を修正。0-day はないみたい。Priority rating: Linux 版は 3、他は 1。

 しかし、Microsoft 2017 年 2 月のセキュリティ更新、問題発生により延期のあおりを受けて、Windows 8.1 / 10、Windows Server 2012 / 2012 R2 / 2016 用の Flash Player の配信も延期されている。 ヤバいことになりかねないので、これら用の IE / Edge では Flash Player を無効化しておいた方がよさげ。

2017.02.22 追記:

 MS17-005 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (4010250) (Microsoft, 2017.02.22) 出ました。

Microsoft 2017 年 2 月のセキュリティ更新、問題発生により延期
(Microsoft, 2017.02.15)

 リリース直前に問題が発見され、延期。 いつまで延期されるのかは、今のところ不明です。 Yanagisawa さん情報ありがとうございます。

 セキュリティ更新プログラムまとめ化の弊害だよなあ。 こういう事態が起こり得ることはあらかじめ想定しているはずだろうけど、 にもかかわらずいつまで延期されるのか不明というのが解せないんだよなあ。 不具合発生個所がまだ特定できていないということなんだろうか。

2017.02.16 追記:

 2017 年 2 月のセキュリティ更新プログラム リリース (日本のセキュリティチーム, 2017.02.15) が 2/15 付で追記されていた。

2017/2/15 更新: 3 月の月例セキュリティ更新プログラム公開 (2017 年 3 月 14 日 (米国日付)) の一部として更新プログラムを配信する予定です。

 なんじゃそりゃ〜〜〜〜〜〜!!!!!!!!!!!!!! 今すぐ Flash Player だけでも配布すべきでしょ。こんなの絶対おかしいよ。

2017.02.22 追記:

 MS17-005 - 緊急: Adobe Flash Player のセキュリティ更新プログラム (4010250) (Microsoft, 2017.02.22) 出ました。


2017.02.14


2017.02.13

追記

Firefox 51.0 / ESR 45.7.0 公開 (2017.01.25)

 Android 版 Firefox のみ 51.0.3 が公開されました。 キャッシュディレクトリに誰でも書き込めちゃう状態になっていたようで。


2017.02.10


2017.02.09

追記

WordPress 4.7.2 セキュリティリリース (2017.01.27)


2017.02.08

いろいろ (2017.02.08)
(various)

Android

各社プリンタ (HP, Lexmark, Dell, Brother, Konica, Samsung)

Cisco製品多数の部品に不具合 18カ月たつと障害発生、復旧不可能に
(ITmedia, 2017.02.08)

 複数の Cisco 製品のハードウェアに欠陥。クロック信号部品に欠陥があり、使用開始 18 か月後以降に不具合が発生、使用不能となり起動できなくなる。 現在販売中の製品では対応されている。 対象:

 関連: Clock Signal Component Issue (Cisco)


2017.02.07


2017.02.06

いろいろ (2017.02.06)
(various)

VMware

Moodle

netpbm

TigerVNC

JVNVU#95841181 - Microsoft Windows の SMB Tree Connect Response パケットの処理にメモリ破損の脆弱性
(JVN, 2017.02.03)

 Windows 8.1 / Server 2012 R2、10 / Server 2016 に欠陥。 SMB 実装に欠陥があり、攻略応答によって青画面になる。 PoC 公開済。

追記

WordPress 4.7.2 セキュリティリリース (2017.01.27)

 詳細解説: WordPress 4.7.1 の権限昇格脆弱性について検証した (徳丸浩の日記, 2017.02.06)。

認証不要で、攻撃に特別な情報も必要とせず、極めて容易にコンテンツが改ざんできるため、深刻な脆弱性であることがわかります。

 関連:


2017.02.02


過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]