セキュリティホール memo

Last modified: Thu Mar 28 13:27:14 2024 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2024.03.28

いろいろ (2024.03.28)
(various)

curl

 curl / libcurl 8.7.0 で修正。最新は 8.7.1。 iida さん情報ありがとうございます。

NVIDIA ChatRTX

解凍レンジ

Chrome Stable Channel Update for Desktop
(Google, 2024.03.26)

 Chrome 123.0.6312.86/.87 (Windows / Mac) および 123.0.6312.86 (Linux) 公開。 Pwn2Own 2024 でヤラレた件など計 7 件のセキュリティ修正を含む。 関連:


2024.03.27


2024.03.26

追記

Apple 方面 (iOS / iPadOS, visionOS) (2024.03.22)

 情報が公開されました。また macOS と Safari の更新版が公開されました。 画像処理が任意のコードの実行を招く欠陥 CVE-2024-1580 を修正。0-day では無いようです 情報公開済の案件ということになるんですかね。

 CVE-2024-1580 はこちらの件です。


2024.03.25

追記

Firefox 124.0 / ESR 115.9.0、Thunderbird 115.9.0 公開 (2024.03.21)

 Firefox 124.0.1 / ESR 115.9.1 が公開されました。Pwn2Own でのヤラレの修正だそうです。 iida さん情報ありがとうございます。

いろいろ (2024.03.25)
(various)

Python

GNU Emacs

  • 「GNU Emacs 29.3」が公開、セキュリティ強化を図った緊急メンテナンス更新 (窓の杜, 2024.03.25)。 Emcas 29.2 におけるこの件の関連修正?

    On GNU/Linux, Emacs is now the default application for 'org-protocol'. Org mode provides a way to quickly capture bookmarks, notes, and links using 'emacsclient':

      emacsclient "org-protocol://store-link?url=URL&title=TITLE"

    Previously, users had to manually configure their GNU/Linux desktop environment to open 'org-protocol' links in Emacs. These links should now open in Emacs automatically, as the "emacsclient.desktop" file now arranges for Emacs to be the default application for the 'org-protocol' URI scheme. See the Org mode manual, Info node "(org) Protocols" for more details.

GnuTLS

  • [gnutls-help] gnutls 3.8.4 (GnuTLS, 2024.03.20)。2024.03.18 付で公開されたそうです。iida さん情報ありがとうございます。

    ** libgnutls: Fix side-channel in the deterministic ECDSA. Reported by George Pantelakis (#1516). [GNUTLS-SA-2023-12-04, CVSS: medium] [CVE-2024-28834]

    ** libgnutls: Fixed a bug where certtool crashed when verifying a certificate chain with more than 16 certificates. Reported by William Woodruff (#1525) and yixiangzhike (#1527). [GNUTLS-SA-2024-01-23, CVSS: medium] [CVE-2024-28835]

リートン


2024.03.22

Apple 方面 (iOS / iPadOS, visionOS)
(Apple, 2024.03.21)

 iOS / iPadOS 17.4.1 / 16.7.7 および visionOS 1.1.1 が公開されました。 詳細情報はまだ開示されていませんが、セキュリティ更新を含むとされています。

2024.03.26 追記:

 情報が公開されました。また macOS と Safari の更新版が公開されました。 画像処理が任意のコードの実行を招く欠陥 CVE-2024-1580 を修正。0-day では無いようです 情報公開済の案件ということになるんですかね。

 CVE-2024-1580 はこちらの件です。


2024.03.21

Firefox 124.0 / ESR 115.9.0、Thunderbird 115.9.0 公開
(Mozilla, 2024.03.19)

 出ました。

2024.03.25 追記:

 Firefox 124.0.1 / ESR 115.9.1 が公開されました。Pwn2Own でのヤラレの修正だそうです。 iida さん情報ありがとうございます。

Chrome Stable Channel Update for Desktop
(Google, 2024.03.19)

 Chrome 123.0.6312.58 (Linux) および 123.0.6312.58/.59 (Windows / Mac) が stable に。12 件のセキュリティ修正を含む。 関連:


2024.03.19

いろいろ (2024.03.19)
(various)

Linux kernel ksmbd

Expat

Django

dnf5daemon-server

Go

Adobe Experience Manager / Premiere Pro / ColdFusion / Bridge / Lightroom / Animate


2024.03.18

Chrome Stable Channel Update for Desktop
(Google, 2024.03.12)

 Chrome 122.0.6261.128/.129 (Windows / Mac) および 122.0.6261.128 (Linux)。 3 件のセキュリティ修正を含む。関連:


2024.03.15


2024.03.14

JVNVU#99626420 Apache Tomcatにおける複数のサービス運用妨害(DoS)の脆弱性
(JVN, 2024.03.14)

 Tomcat 11.0.0-M17 / 10.1.19 / 9.0.86 / 8.5.99 出ました。2 件の DoS 攻撃を受ける欠陥 CVE-2024-23672 CVE-2024-24549 を修正。iida さん情報ありがとうございます。


2024.03.13

いろいろ (2024.03.13)
(various)

Unbound

QNAP QTS 5.1.x / 4.5.x, QuTS hero h5.1.x / h4.5.x, QuTScloud c5.x, myQNAPcloud 1.0.x

2024 年 3 月のセキュリティ更新プログラム (月例)
(Microsoft, 2024.03.12)

 Microsoft 2024.03 patch 出ました。 61 MS CVE + 4 non-MS CVE (Intel x 1, Crome x 3)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day は無い模様。

 関連:


2024.03.12

追記

2024 年 1 月のセキュリティ更新プログラム (月例) (2024.01.11)

 KB5034441 の件関連:

  • Windows PowerShellで動くスクリプトがPowerShellでも動くとは限らない、なぜなのか? (山市良 / @IT, 2024.03.12)

    Microsoftは2024年2月初め、「回復パーティション」のサイズを拡張するサンプルスクリプトを公開しました。もし、このサンプルスクリプトを実行したい場合は、クロスプラットフォーム対応の「PowerShell 7.x」ではなく、Windowsのコンポーネントである「Windows PowerShell 5.1」の使用をお勧めします。なぜなら、サンプルスクリプト内で使用されている「Split」メソッドの挙動に重大な違いがあるからです。

    うひー。罠すぎる。

Apple 方面 (iOS / iPadOS, tvOS, watchOS, visionOS, macOS, Safari)
(Apple, 2024.03.07)

 そういえば出てましたね。0-day CVE-2024-23225 (Kernel) CVE-2024-23296 (RTKit) を含みます。


2024.03.11

 あれから 13 年。


2024.03.08

Chrome Stable Channel Update for Desktop
(Google, 2024.03.05)

 Chrome 122.0.6261.111/.112 (Windows, Mac) および 122.0.6261.111 (Linux) 公開。 3 件 CVE-2024-2173 CVE-2024-2174 CVE-2024-2176 のセキュリティ修正を含む。

 関連:


2024.03.07


2024.03.05

いろいろ (2024.03.05)
(various)

Android

NVIDIA GPU ドライバー

追記

2024 年 2 月のセキュリティ更新プログラム (月例) (2024.02.15)

 不具合報告:


2024.03.04


2024.03.01


過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]