セキュリティホール memo

Last modified: Mon Jun 21 19:19:05 2021 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2021.06.21


2021.06.18

Chrome Stable Channel Update for Desktop
(Google, 2021.06.17)

 Chrome 91.0.4472.114 公開。4 件のセキュリティ修正を含む。 内 1 件 CVE-2021-30554 は 0-day だそうで。


2021.06.17

追記

Firefox 89.0 / ESR 78.11.0、Thunderbird 78.11.0 公開 (2021.06.03)

 Firefox 89.0.1 がリリースされた (MozillaZine, 2021.06.17)。Windows 版 Firefox 89 に影響するセキュリティ欠陥 CVE-2021-29968 が修正されています。ESR 78 や Android 版はこの欠陥の影響を受けません。

いろいろ (2021.06.17)
(various)

Intel 方面 (ドライバー、ファームウェア、BIOS 等)

Django

ISC DHCPd

squid

polkitの脆弱性(Important: CVE-2021-3560)
(SIOS, 2021.06.10)

 polkit 0.113 〜 0.118 にセキュリティ欠陥、local user が root 権限を奪取できる。 polkit 0.119 で修正されている。CVE-2021-3560。詳細:

 欠陥がある polkit を同梱していた Linux ディストリビューションは、RHEL 8 以降、Fedora 21 以降、Debian testing (bullseye)、ubuntu 20.04 以降がある模様。 更新パッケージが用意されているので適用すればよい。


2021.06.16

iOS 12.5.4 のセキュリティコンテンツについて
(Apple, 2021.06.14)

 iOS 12 系の最新版登場。3 件のセキュリティ欠陥を修正。内 2 件は WebKit の欠陥で 0-day。

複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
(JPCERT/CC, 2021.06.15)

 EC-CUBE 3.0 系用の複数のプラグインにセキュリティ欠陥があり、修正版が公開されたそうです。


2021.06.15


2021.06.14


2021.06.11

いろいろ (2021.06.11)
(various)

SAP

Android

Adobe 方面 (Connect、Acrobat / Reader、Photoshop、Photoshop Elements、Experience Manager、Creative Cloudデスクトップアプリ、RoboHelp Server、Premiere Elements、After Effects、Animate)
(Adobe, 2021.06.08)

 出ました。

2021 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2021.06.09)

 Microsoft 2021.06 定例です。 2021 年 6 月のセキュリティ更新プログラム より:

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2021.06.09)

 Chrome 91.0.4472.101 公開。0-day を含む、14 件のセキュリティ修正を含む。 0-day はこちら:

[$NA][1216437] High CVE-2021-30551: Type Confusion in V8. Reported by Clement Lecigne of Google's Threat Analysis Group and Sergei Glazunov of Google Project Zero on 2021-06-04
(中略)
Google is aware that an exploit for CVE-2021-30551 exists in the wild.

2021.06.10


2021.06.09


2021.06.08


2021.06.07

追記

いろいろ (2021.05.27) VMware vCenter Server / Cloud Foundation

 JPCERT/CC の注意喚起 が改訂された。

  • VMware vCenter Serverの複数の脆弱性(CVE-2021-21985、CVE-2021-21986)に関する注意喚起 (JPCERT/CC, 2021.06.07 更新)

    JPCERT/CCは、脆弱性(CVE-2021-21985)を悪用し、影響を受けるシステム上で任意のコードを実行する実証コードが公開されていることを確認しています。また、2021年5月28日頃より、脆弱性(CVE-2021-21985)を探索する通信が観測されているとの情報も確認しています。
    本脆弱性の影響を受ける製品を利用しており、とりわけインターネットから直接接続可能な状況で稼働している場合、速やかに対策や回避策を適用することを推奨します。

Apache HTTP Server 2.4.48 Released (2021.06.04)

 2.4.47 の件、iida さんから (ありがとうございます)。

Apache 2.4.47ですが、アーカイブ・サイト <http://archive.apache.org/dist/httpd/> にはいつの間にか置いてありました。

2021.06.04

Apache HTTP Server 2.4.48 Released
(Apache, 2021.06.01)

 apache httpd 2.4.48 公開。iida さん情報ありがとうございます。 2.4.47 は未リリース、という理解でいいのかな。

 うーん、Apache HTTP Server 2.4 vulnerabilities (apache.org) と Changes with Apache 2.4.48 (apache.org) の記述が一致しない。 たぶん Changes の方が正しいだろうから、以下は Changes ベースで書くよ。

 2.4.47 で修正:

 2.4.48 で修正:

2021.06.07 追記:

 2.4.47 の件、iida さんから (ありがとうございます)。

Apache 2.4.47ですが、アーカイブ・サイト <http://archive.apache.org/dist/httpd/> にはいつの間にか置いてありました。

Wireshark 3.4.6 and 3.2.14 Released
(Wireshark, 2021.06.02)

 Wireshark 3.4.6 / 3.2.14 公開。3.4.6 では wnpa-sec-2021-05 - DVB-S2-BB dissector infinite loop が修正されている。3.2.14 にはセキュリティ修正はないみたい。


2021.06.03

Firefox 89.0 / ESR 78.11.0、Thunderbird 78.11.0 公開
(Mozilla, 2021.06.01)

 出ました。

2021.06.17 追記:

 Firefox 89.0.1 がリリースされた (MozillaZine, 2021.06.17)。Windows 版 Firefox 89 に影響するセキュリティ欠陥 CVE-2021-29968 が修正されています。ESR 78 や Android 版はこの欠陥の影響を受けません。


2021.06.02


2021.06.01


過去の記事: 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]