セキュリティホール memo

Last modified: Tue Jul 17 18:54:31 2018 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2018.07.17

追記

2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)

 今回の更新プログラムにはいくつか不具合があったようで、対応の更新プログラムが公開されているものがあります。例:

Windows 7 SP1 / Server 2008 R2 SP1
  • July 10, 2018—KB4338823 (Security-only update) (Microsoft)

    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345459 で修正されている。

  • July 10, 2018—KB4338818 (Monthly Rollup) (Microsoft)

    • There is an issue with Windows and third-party software related to a missing file (oem<number>.inf). Because of this issue, after you apply this update, the network interface controller will stop working.
    • 他、KB4338823 と同じ 3 件

    最初のものについては回避策を記載、 他のものについてはまだ作業中、になっている。

Server 2012
  • July 10, 2018—KB4338820 (Security-only update) (Microsoft)

    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345425 で修正されている。

  • July 10, 2018—KB4338830 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、 まだ作業中、になっている。

Windows 8.1 / Server 2012 R2
  • July 10, 2018—KB4338824 (Security-only update) (Microsoft)

    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345424 で修正されている。

  • July 10, 2018—KB4338815 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、 まだ作業中、になっている。

Windows 10, version 1803
  • July 10, 2018—KB4338819 (OS Build 17134.165) (Microsoft)

    • After installing this update on a DHCP Failover Server, Enterprise clients may receive an invalid configuration when requesting a new IP address. This may result in loss of connectivity as systems fail to renew their leases.
    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Server service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345421 で修正されている。


2018.07.16


2018.07.13

新たなサイドチャンネル攻撃 TLBleed 登場
(various)

 また出ました。

いろいろ (2018.07.13)
(various)

VMware Tools

cURL

Kea DHCP server

Explzh

追記

2018 年 7 月のセキュリティ更新プログラム (月例) (2018.07.12)

いろいろ (2018.07.09) Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N

WG1200HP, W300P, HC100RC についてより詳細な情報が開示された模様:

他の奴も似たりよったりということなんですかねえ。


2018.07.12

注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります
(JPNIC, 2018.07.10)

 BIND・Knot Resolver・Unbound・PowerDNS Recursor における、EDNS に対応しない/できない機器への回避策の実装を、2019.02.01 以後はもうやめる (削除する) そうです。 堪忍袋の緒が切れた、という感じでしょうか。

 とりあえず、https://dnsflagday.net/ を見ながらテストするのが吉のようです。

追記

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)

 Apple Boot Camp が 6.4.0 で対応されました:

Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15)

 Security updates available for Adobe Acrobat and Reader | APSB18-09 ですが、2018.05.25 付の変更で、Track 名称が Consumer から Continuous に改訂されていました。

2018 年 7 月のセキュリティ更新プログラム (月例)
(Microsoft, 2018.07.11)

 出ました。IE / Edge, Windows, Office, SharePoint, ChakraCore, Flash Player, .NET Framework / ASP.NET, Microsoft Research JavaScript Cryptography Library, Skype for Business / Lync, Visual Studio, Wireless Display Adapter V2, PowerShell Editor Services / Extension for Visual Studio Code, Web Customizations for Active Directory Federation Services。多いね!

 EMET は 2018.07.31 でいよいよサポート終了だそうです。 手元の Windows 7 機の移行作業も実施しないと……。

 関連:

2018.07.13 追記:

 関連:

2018.07.17 追記:

 今回の更新プログラムにはいくつか不具合があったようで、対応の更新プログラムが公開されているものがあります。例:

Windows 7 SP1 / Server 2008 R2 SP1
  • July 10, 2018—KB4338823 (Security-only update) (Microsoft)

    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345459 で修正されている。

  • July 10, 2018—KB4338818 (Monthly Rollup) (Microsoft)

    • There is an issue with Windows and third-party software related to a missing file (oem<number>.inf). Because of this issue, after you apply this update, the network interface controller will stop working.
    • 他、KB4338823 と同じ 3 件

    最初のものについては回避策を記載、 他のものについてはまだ作業中、になっている。

Server 2012
  • July 10, 2018—KB4338820 (Security-only update) (Microsoft)

    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345425 で修正されている。

  • July 10, 2018—KB4338830 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、 まだ作業中、になっている。

Windows 8.1 / Server 2012 R2
  • July 10, 2018—KB4338824 (Security-only update) (Microsoft)

    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345424 で修正されている。

  • July 10, 2018—KB4338815 (Monthly Rollup) (Microsoft)。上記と同じ不具合が列挙されているが、 まだ作業中、になっている。

Windows 10, version 1803
  • July 10, 2018—KB4338819 (OS Build 17134.165) (Microsoft)

    • After installing this update on a DHCP Failover Server, Enterprise clients may receive an invalid configuration when requesting a new IP address. This may result in loss of connectivity as systems fail to renew their leases.
    • After installing this update, some devices running network monitoring workloads may receive the 0xD1 Stop error because of a race condition.
    • Restarting the SQL Server service may fail occasionally with the error, “Tcp port is already in use”.
    • When an administrator tries to stop the World Wide Web Publishing Service (W3SVC), the W3SVC remains in a "stopping" state, but cannot fully stop or be restarted.

    KB4345421 で修正されている。


2018.07.11

Adobe 方面 (Acrobat, Connect, Experience Manager, Flash Player)
(Adobe, 2018.07.10)

 Adobe 方面出てました。Priority は 2 (Linux 用 Flash Player だけ 3)。

 関連:

Apple 方面 (iOS, tvOS, watchOS, macOS, Safari, iCloud for Windows, iTunes for Windows 更新)
(apple, 2018.07.09)

 Apple 方面出てました。

 関連:

ClamAV 0.100.1 has been released!
(ClamAV, 2018.07.09)

 ClamAV 0.100.1 公開。セキュリティ修正 3 件を含みます。


2018.07.09

いろいろ (2018.07.09)
(various)

Aterm HC100RC, W1200EX / W1200EX-MS, W300P, W500P, WF300HP2, WF800HP, WG1200HP, WG1200HP2, WG1200HS, WG1200HS2, WG1900HP, WR8165N

Knot Resolver

LTE

WordPress 4.9.7 セキュリティ・メンテナンスリリース
(Wordpress, 2018.07.08)

 セキュリティ修正は次の件のようです。

バージョン 4.9.6 以前の WordPress は、特定の権限を持つユーザーが uploads ディレクトリ外のファイルを削除できてしまう可能性のあるメディアの問題の影響を受けます。

 これに加えて 17 件の不具合修正が含まれるそうです。


2018.07.05

人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か
(窓の杜, 2018.07.04)

 Firefox 用のユーザースタイルシート管理用アドオン Stylish に欠陥。 プライバシーポリシーでは非個人的なデータのみを収集することになっているが、 実際には、全ての閲覧履歴を収集していた模様。

パスワードのリセットなどで用いられる認証トークンを含んだURLや、コンテンツの共有に使われるワンタイムURLも含まれるため、個人の特定はおろか、機密情報の入手も不可能ではない。

 Firefox 用 Stylish は 2018.07.03 付でブロックされた

 Chrome 用 Stylish にも同様の問題があるかどうかは不明。

 関連: "Stylish" browser extension steals all your internet history (Robert Heaton, 2018.07.02)


2018.07.04

VMSA-2018-0016 - VMware ESXi, Workstation, and Fusion updates address multiple out-of-bounds read vulnerabilities
(2018.06.28)

 VMware ESXi 6.7、Workstation 14.x、Fusion 10.x の shader translator に複数の欠陥、情報漏洩や、一般ユーザー権限での VM の crash を招く。 CVE-2018-6965 CVE-2018-6966 CVE-2018-6967。 ESXi 5.5 / 6.0 / 6.5 にはこの欠陥はない。

 ESXi 6.7 用の patch ESXi670-201806401-BG、および Workstation 14.1.2、Fusion 10.1.2 で修正されている。

追記

Security updates available for Adobe Acrobat and Reader | APSB18-09 (2018.05.15)

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004 (2018.04.26)

Firefox 61.0 / ESR 60.1.0 / ESR 52.9.0 公開
(Mozilla, 2018.06.26)

 そういえば出てましたね。iida さん情報ありがとうございます。 ESR 52 系列はいよいよ終了です。

 Thunderbird 52.9.0 も 2018.07.03 付で出てました。


2018.07.02


過去の記事: 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]