セキュリティホール memo

Last modified: Mon Jun 26 16:38:54 2017 +0900 (JST)
短縮 URL: http://goo.gl/pwSG QR コード: http://goo.gl/pwSG.qr


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在46票)
中山信弘「ソフトウェアの法的保護」 (現在117票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在107票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在172票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2017.06.26

OpenVPN 2.4.3 リリース
(OpenVPN.jp, 2017.06.23)

 OpenVPN 2.4.3 / 2.3.17 公開。以下のセキュリティ欠陥を修正 (VulnerabilitiesFixedInOpenVPN243)。


2017.06.23


2017.06.21

Apache HTTP Server 2.4.26 Released
(Apache.org, 2017.06.19)

 Apache HTTP サーバー 2.4.26 公開。「重要」レベルの 5 件の欠陥が修正されている。iida さん情報ありがとうございます。

 Apache 2.2 系については 2.2.33 で修正される予定。 開発用コードでは既に修正されており、Apache httpd 2.2 vulnerabilities で patch が公開されている。

追記

世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.15)

 事例: ホンダ。

 あと、XP / IE 8 で hotfix をダウンロードできない件の解説:


2017.06.20


2017.06.19

Adobe 方面
(Adobe, 2017.06.13)

APSB17-17 - Security updates available for Flash Player (Adobe, 2017.06.13)

APSB17-18 - Security update available for Shockwave Player (Adobe, 2017.06.13)

 Shockwave Player 12.2.9.199 公開。 CVE-2017-3086 を修正。Priority rating: 2

APSB17-19 - Security updates available for Adobe Captivate (Adobe, 2017.06.13)

 Adobe Captivate 9 以前に欠陥 CVE-2017-3087 CVE-2017-3098、8 / 9 用の Hotfix で修正。また Captivate 2017 (10.0.0.192) へのアップグレードでも対応可。Priority rating: 3

APSB17-20 - Security updates available for Adobe Digital Editions (Adobe, 2017.06.13)

 Adobe Digital Editions 4.5.4 以前に欠陥、4.5.5 で修正。 CVE-2017-3088 CVE-2017-3089 CVE-2017-3090 CVE-2017-3092 CVE-2017-3093 CVE-2017-3094 CVE-2017-3095 CVE-2017-3096 CVE-2017-3097。 Priority rating: 3


2017.06.16

いろいろ (2017.06.16)
(various)

ウイルスバスタークラウド 11

McAfee Network Data Loss Prevention

Dropbear SSH

cURL

Android

Chrome Stable Channel Update for Desktop
(Google, 2017.06.15)

 Chrome 59.0.3071.104 公開。5 件のセキュリティ欠陥を修正。

追記

Firefox 54.0 / ESR 52.2.0 公開 (2017.06.14)

 Thunderbird 52.2.0 出ました。リリースノート

世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.13)

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起 (2017.03.09)

 GMO ペイメントゲートウェイ方面。

 被害事例: 国土交通省 土地総合情報システム。

CIA Vault 7 方面 (2017.03.10)

 WikiLeaks、Windows 用マルウェア AfterMidnight と Assassin の情報を公開。

  • AfterMidnight (WikiLeaks, 2017.05.12)

    The main controller disguises as a self-persisting Windows Service DLL and provides secure execution of "Gremlins" via a HTTPS based Listening Post (LP) system called "Octopus".

 WikiLeaks、Windows 用マルウェア Athena の情報を公開。

 WikiLeaks、Windows 用マルウェア Pandemic の情報を公開。

 WikiLeaks、WiFi ルーターやアクセスポイントのファームウェアを書き換えて中間介入攻撃を実施する Cherry Blossom の情報を公開。

BIND 方面
(JPRS, 2017.06.15)

 2 件あります。

(緊急)BIND 9.xの脆弱性(権限の昇格)について(CVE-2017-3141) - Windows版BINDのみ該当、バージョンアップを強く推奨 - (JPRS, 2017.06.15)

 Windows 版 BIND のインストーラーに欠陥。パス名の扱いに欠陥があり、 local user による権限上昇が可能。CVE-2017-3141

 BIND 9.11.1-P1 / 9.10.5-P1 / 9.9.10-P1 で修正されている。

BIND 9.xの脆弱性(サービス性能の劣化及びパケットの連続送信)について(CVE-2017-3140) - バージョンアップを強く推奨 - (JPRS, 2017.06.15)

 BIND 9.9.10 / 9.10.5 / 9.11.[01] に欠陥。 RPZ (Response Policy Zones、デフォルトで無効) の処理に欠陥があり、特定の条件が揃うと無限ループに陥る。CVE-2017-3140

 特定の条件は以下のとおり:

1. RPZが有効に設定されている
2. RPZにおいて、NSDNAMEまたはNSIPのポリシールールが使われている
3. 受信したDNSクエリにより、上記のポリシールールが処理される

 BIND 9.11.1-P1 / 9.10.5-P1 / 9.9.10-P1 で修正されている。


2017.06.14

2017 年 6 月のセキュリティ更新プログラム (月例)
(日本のセキュリティチーム, 2017.06.14)

 出ました。まだちゃんと読めてない。

国家レベルでの攻撃および情報開示による悪用の危険性が高まっているため、古いプラットフォーム用のセキュリティ更新プログラムを公開しています。Windows Update を介して自動更新を有効にしているお客様は特別な措置を講じる必要はありません。手動で更新プログラムを管理しているお客様は、詳細および適用方法についてセキュリティ アドバイザリ 4025685 を参照してください。

 セキュリティ アドバイザリ 4025685 を見ると、サポート対象 OS は 4025686 を、サポート非対象 OS は 4025687 を参照と。Windows XP / Server 2003 / Vista / 8 用の更新プログラムがいくつか新たに公開されてます。

2017.06.16 追記:

Firefox 54.0 / ESR 52.2.0 公開
(Mozilla, 2017.06.13)

 出ました。

2017.06.16 追記:

 Thunderbird 52.2.0 出ました。リリースノート


2017.06.13


2017.06.12

いろいろ (2017.06.12)
(various)

GnuTLS

VMware vSphere Data Protection

Cisco

Apache Tomcat

脆弱性体験学習ツール AppGoat

  • 重要なお知らせ(更新日時:2017/6/6) (IPA)。AppGoat V3.0.2 に 4 件の欠陥、AppGoat V3.0.3 で修正。

    なお、最新バージョン(V3.0.3)の利用に際しては、利用許諾条件合意書の改訂を行ったため、再度利用許諾合意書を確認の上、IPAに利用申請メールを送信していただく必要があります。

DLL ねた


2017.06.09


2017.06.06

Chrome Stable Channel Update for Desktop
(Google, 2017.06.05)

 Chrome 59.0.3071.86 が stable に。30 件のセキュリティ修正を含む。 iida さん情報ありがとうございます。


2017.06.05


2017.06.02


2017.06.01

追記

いろいろ (2017.05.31) - Microsoft Malware Protection Engine


過去の記事: 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 >


[セキュリティホール memo]
[私について]