セキュリティホール memo

Last modified: Fri Nov 29 18:31:52 2024 +0900 (JST)


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2024.11.29


2024.11.28

Firefox 133.0 / ESR 128.5.0 / ESR 115.17.0, Thunderbird 128.5.0esr 公開
(Mozilla, 2024.11.26)

 出てました。 いずれもセキュリティ修正あり。


2024.11.27


2024.11.22

いろいろ (2024.11.22)
(various)

トレンドマイクロ Deep Security Agent(Windows版) / Notifier

Drupal

Apache Tomcat

 Tomcat 11.0.0 / 10.1.31 / 9.0.96 (2024.10.09 リリース) で修正されたセキュリティ欠陥情報が 2024.11.18 付で公開された。

 また Tomcat 11.0.0 / 10.1.31 / 9.0.96 には別の欠陥があり 11.0.1 / 10.1.33 / 9.0.97 (2024.11.09〜11 リリース) で修正されたのだそうで。こちらも 2024.11.18 付で公開。

wget

AMD

Chrome Stable Channel Update for Desktop
(Google, 2024.11.19)

 Chrome 131.0.6778.85/.86 (Windows / Mac) および 131.0.6778.85 (Linux) 公開。 3 件のセキュリティ修正を含む。関連:


2024.11.21


2024.11.20

Apple 0-day 方面 (iOS / iPadOS, macOS, visionOS, Safari)
(Apple, 2024.11.19)

 0-day 欠陥への対応です。 JavaScriptCore CVE-2024-44308 WebKit CVE-2024-44309。 intel ベースの Mac への 攻撃が確認されているそうで。

Palo Alto Networks製PAN-OSの管理インタフェースにおける複数の脆弱性(CVE-2024-0012、CVE-2024-9474)に関する注意喚起
(JPCERT/CC, 2024.11.19)

 PAN-OS の管理 Web インタフェースに 0-day 欠陥。 認証を回避できる欠陥 CVE-2024-0012 と権限上昇を許す欠陥 CVE-2024-9474 があり、結果として remote から管理者権限を奪取できる。

 現時点では限定的な攻撃だそうだが、既に情報が公開されており、「今後本脆弱性を悪用する攻撃が増加する可能性があります」だそうです。


2024.11.19


2024.11.18

追記

FG-IR-24-423 - Missing authentication in fgfmsd (2024.10.24)

 Fortinet製FortiManagerにおける重要な機能に対する認証の欠如の脆弱性(CVE-2024-47575)等に関する注意喚起 (JPCERT/CC) が 11/15 付で更新されている。

2024年11月15日時点で、本脆弱性(CVE-2024-47575)の詳細を解説する情報や、本脆弱性を実証するコード(Proof-of-Concept)などが公開されていることをJPCERT/CCは確認しています。また、本脆弱性とは別の脆弱性が同製品に存在するという指摘や、既知の調査方法で検出されないような脆弱性の悪用方法を解説する情報も確認しています。

JPCERT/CCは国内の組織から本脆弱性が悪用された可能性を示すログが確認されたという情報を複数確認しており、実証コードなどを用いた攻撃が増加する可能性があります。本脆弱性や本製品について、今後も新たな情報が公開される可能性がありますので、引き続きFortinetなどが公開する最新の情報を注視の上、対策や調査を実施いただくことを推奨いたします。

2024.11.15

いろいろ (2024.11.15)
(various)

PostgreSQL

  • PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 Released! (PostgreSQL, 2024.11.14)。セキュリティ修正 4 件を含む。

    CVE-2024-10976: PostgreSQL row security below e.g. subqueries disregards user ID changes
    CVE-2024-10977: PostgreSQL libpq retains an error message from man-in-the-middle
    CVE-2024-10978: PostgreSQL SET ROLE, SET SESSION AUTHORIZATION reset to wrong user ID
    CVE-2024-10979: PostgreSQL PL/Perl environment variable changes execute arbitrary code

Intel 各種

Adobe Bridge / Audition / After Effects / Substance 3D Painter / Illustrator / InDesign / Photoshop / Commerce

Zoom


2024.11.14

2024 年 11 月のセキュリティ更新プログラム (月例)
(Microsoft, 2024.11.12)

 出ました。89 MS CVE + 3 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。

 0-day が 4 件。

 関連:

Chrome Stable Channel Update for Desktop
(Google, 2024.11.12)

 Chrome 131.0.6778.69 (Linux) および 131.0.6778.69/.70 (Windows / Mac) が stable に。12 件のセキュリティ修正を含む。関連:


2024.11.12

いろいろ (2024.11.12)
(various)

トレンドマイクロ Deep Security Agent (Windows版)

curl

Android


2024.11.11


2024.11.08


2024.11.07

Chrome Stable Channel Update for Desktop
(Google, 2024.11.05)

 Chrome 130.0.6723.116/.117 (Windows / Mac) および 130.0.6723.116 (Linux) 公開。 2 件のセキュリティ修正を含む。関連:

2024.11.08 追記:

 「Microsoft Edge」で2件のセキュリティ修正 ~v130.0.2849.80へのアップデートを (窓の杜, 2024.11.08)


2024.11.01

追記

Apple 方面 (iOS / iPadOS, tvOS, watchOS, visionOS, macOS) (2024.10.29)

 そういえば Safari も遅れて出てました。


過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]