Last modified: Thu Jun 9 11:54:58 2022 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 Twitterが新しい利用規約を追加、今度はリベンジポルノを禁止 (techcrunch, 10/29)
》 Announcement: RT and Sputnik Advertising (twitter, 10/26)、 Twitter’s Ban on Russia Today Ads is Dangerous to Free Expression (EFF, 10/27)
》 北朝鮮インターネット事情 (トレンドマイクロ セキュリティ blog, 10/27)
》 「情報セキュリティ対策ベンチマーク バージョン4.6」と「診断の基礎データの統計情報」を公開 (IPA, 10/27)
》 暗いところの作業に便利! 指が直接光る「LED付きフィンガーグローブ」 (カデーニャ, 10/30)。おぉ。
》 HDD/SSD健康チェックツール「CrystalDiskInfo」がアップデート、特別版のテーマが拡充 (窓の杜, 10/30)
》 米国政府、B-52爆撃機を核武装させ24時間臨戦体制へ。冷戦後初 (スラド, 10/28)。さすがに空中待機ではなく、地上待機です。バークスデール空軍基地。しかし B-52、よく働くなあ。
》 カナダ食品検査庁曰く、ソイレントは食事を置き換え可能な食品の基準の一部を満たさない (スラド, 10/28)
》 Androidのセキュリティ、Google Playプロテクトのマルウェア検出性能は不十分? (スラド, 10/28)。AV-TEST に Google Play プロテクト登場、Protection Score: 0。
The best antivirus software for Android: September 2017 (AV-TEST)
AV-TEST Product Review Report – Sep/2017: Google Play Protect (AV-TEST)。この結果は、無惨としか言いようがないなあ。
Google Play プロテクト (Android)。「手のひらに安心をお届けします」は言いすぎだなあ。
》 関西オープンフォーラム 2017。2017.11.10〜11、大阪府大阪市、無料。たとえばこんなの。
自動車分野のサイバーセキュリティ。White Motion 蔵本雄一さん。 11/10 16:00〜
BSD なひととき。蛯原純さん。 11/10 16:00〜
今さら聞けない人のためのガンダム超入門 。みやはらとおるさん。 11/11 11:00〜
情報試験によるガチAO入試の勧め。京都産業大学コンピュータ理工学部さん。 11/11 15:00〜
ネ申Excelと事務情報化。上原先生。 11/11 16:00〜
共用サーバー利用者向けのセキュリティ対応作業のコツ。山本和彦さん。 11/11 17:00〜
「日本のインターネットが揺れた日」。朝日新聞 須藤龍也さん。Google の経路情報誤設定 (8/25) の件。 11/11 17:00〜
Wget 1.19.2 released (GNU, 2017.10.26)。CVE-2017-13089 CVE-2017-13090 を修正。
Critical vulnerabilities in Wget (viestintavirasto.fi, 2017.10.26)
JVNVU#99266133 - GNU Wget における複数のバッファオーバーフローの脆弱性 (JVN, 2017.10.27)
Chrome 62.0.3202.75、1 件のセキュリティ欠陥を修正。
世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた (2017.05.15)
英国会計検査院 National Audit Office の報告書: Investigation: WannaCry cyber attack and the NHS (UK NAO, 2017.10.17)
In total, at least 81 out of 236 trusts across England were affected.
8 The cyber attack could have caused more disruption if it had not been stopped by a cyber researcher activating a ‘kill-switch’.
NHS Digital told us that the majority of NHS devices infected were unpatched but on supported Microsoft Windows 7 operating systems. Unsupported devices (those on XP) were in the minority of identified issues.
関連: 「WannaCry」被害の英病院、パッチ適用の警告を無視していた (ZDNet, 2017.10.30)
》 仕事場でのセクハラ、もう容認しない 米各業界で動き (AFPBB, 10/26)
》 OSSセキュリティ技術の会 第二回勉強会 くらえ!!これが新(ネオ)OSS認証基盤だ!の巻 (connpass)。2017.11.29、東京都渋谷区、無料。 FreeIPA と Keycloak の話。面さん情報ありがとうございます。
JVNVU#93703434 - 「楽々はがき」および「楽々はがき セレクト for 一太郎」にメモリ破壊の脆弱性 (JVN, 2017.10.24)
[JS17003]楽々はがき および 楽々はがき セレクト for 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 2017.10.24)
IMAP FETCH response out of bounds read (cURL, 2017.10.23)。curl / libcurl 7.56.1 で修正。 CVE-2017-1000257
》 ドラマ『Mr. ROBOT』で学ぶセキュリティ (Kaspersky, 10/18)
》 ランサムウエア対策特設サイト (JPCERT/CC, 10/26)
ランサムウェアBadRabbitに関する情報についてまとめてみた (piyolog, 10/25)
新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される (トレンドマイクロ セキュリティ blog, 10/25)
Bad Rabbit:新たな大規模ランサムウェア攻撃の兆し (Kaspersky, 10/26)
BadRabbit が登場: ロシアとウクライナを襲った新種のランサムウェア (Symantec, 10/25)
新たなランサムウエア「Bad Rabbit」について (JPCERT/CC, 10/25)。 「本ランサムウエアのドロッパーがダウンロードされている国に日本が含まれているという情報などもあります」。JPCERT/CC 自身は (この時点では) 国内での感染を確認していないようだ。
新手のランサムウエア「Bad Rabbit」、JPCERT/CCやセキュリティベンダーが警告 (日経 IT Pro, 10/25)
アイカ工業がWebサイトを一時閉鎖、Bad Rabbitが原因か (日経 IT Pro, 10/25)
ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害 (ITmedia, 10/25)
ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用 (Internet Watch, 10/25)
ランサムウェア「Bad Rabbit」配布目的で、国内企業サイトが改ざん被害 (Internet Watch, 10/27)。アイカ工業の件。
》 Apache HTTP Server 2.4.29 で修正された Out Of Memory 自爆バグについて (熊猫さくらのブログ, 10/24)
国交省積算ごみ撤去費 森友値引き6億円過大 検査院が疑義 (東京, 10/26)
会計検査院が指摘 森友への国有地値引き額は6億円も過大 (日刊ゲンダイ, 10/26)
》 Windows Server バックアップがサーバーマネージャーの GUI 上から表示されなくなる事象について (Ask CORE, 10/20)
本事象を回避いただく場合には、恐れ入りますが、管理者権限を持つコマンド プロンプトより、以下のコマンドを実行してください。
dism.exe /online /enable-feature /all /featurename:WindowsServerBackupSnapin
》 b.root-servers.net(B-Root)のIPv4アドレス変更に伴う設定変更について (JPRS, 10/25)
》 衆院選 なぜ炎上しているのか 山尾氏辛勝と無効票1万超 (毎日, 10/25)。騒ぐほどのものではなかった模様。
そもそも、無効票は「異常に多かった」と言えるのか。愛知7区の投票総数に無効票が占める率は4.23%で、前回2014年衆院選小選挙区の全国平均3.29%より高い(今回の全国平均は集計中)。だが、今回の小選挙区選挙で東京12区は9.71%。東京14、16、17区も5%を超えた。14年衆院選の大阪3区では、実に15.25%が無効票だった。
関連ツイート:
いつもながらの「ネトウヨ評論家」上念司による悪質な印象操作であったらしい。https://t.co/mWurUSpnKp pic.twitter.com/dXfAkG86ko
— masahiro nishikawa (@masahironishika) 2017年10月24日
ランサーズ、「愛知7区の無効票が多すぎ!山尾志桜里の選挙区に何が起こったか!?」というタイトルの記事の作成依頼。1記事1500文字以上で800円https://t.co/XlBpddQ5m4https://t.co/wD7afqdHdv pic.twitter.com/vifE4m59l3
— 500C💲🎸体調不良🐙もっと寝たい (@JENI_L_) 2017年10月23日
》 伊藤詩織さん、日本外国特派員協会で「Black Box」発売記者会見 (10/24)
【中継録画】暴行被害訴えた伊藤詩織さんが外国特派員協会で会見 (THE PAGE, 10/24)
ORICON NEWS 伊藤詩織さん会見、手記に込めた思い「遠い誰かの話ではない」 (毎日, 10/24)
「レイプ被害の救済システム整備を」 伊藤詩織さん会見 (朝日, 10/24)
伊藤詩織さんに海外ジャーナリストが聞いたこと「日本でレイプがあまり報じられないのはなぜ?」 (ハフポスト, 10/24)
山口敬之氏「あなたは性犯罪被害者ではない」、性的暴行めぐり月刊Hanadaで反論 (弁護士ドットコム, 10/26)
》 みずほ銀、新システム完成にメド 人材不足解消で新規案件の契機に (日経, 10/25)、 みずほ銀行が次期勘定系システムの開発を完了、8月から受け入れテストへ (日経 IT Pro, 7/31)
》 横田一「ニッポン抑圧と腐敗の現場」22 米軍トモダチ作戦を追ったドキュメントで番組改変が! 担当者も「日テレ報道の魂は『安倍に忖度』という事」と報告 (横田一 /: リテラ, 10/19)。 選挙が問題なら、放送を順延すればいいだけじゃないの?
》 【解消済み】窓フォトがMicrosoft社のアンチウイルス製品により誤検知される問題について (ワンタッチソフトブログ, 10/11)
》 IoTデバイスのセキュアな設計を ARMが業界共通フレームワークを発表 (ITmedia, 10/25)、 Platform Security Architecture (Arm Developer)
》 ノートPCやスマホのインカメラをふさぐ開閉式の盗撮防止シール「SL-6H-3」、サンワサプライが発売 (Internet Watch, 10/23)。物理蓋。3枚入り 1180 円だそうで。
》 町山智浩 ハーヴェイ・ワインスタイン セクハラ騒動の影響を語る (たまむすび / miyearnZZ Labo, 10/24)
(町山智浩)そう。でもはっきり言ってテレビの昼のワイドショーとかでこの事件を報道しながら、坂上忍っていう人が「でも本当は女の方から行ったんじゃないですか?」とか言っているんですけど、そんなことを言っているからこんなやつらがどんどん増えるんですよ!
》 ロシア「幽霊潜水艦」を追え、米海軍による追跡の舞台裏 (ウォール・ストリート・ジャーナル日本版, 10/24)
》 日米韓が北朝鮮ミサイルの探知訓練開始 (NHK, 10/24)、 日米韓共同訓練(弾道ミサイル情報共有訓練)の実施について (海上幕僚監部, 10/24)、 S. Korea, US, Japan to Hold Missile Warning Drill (KBS, 10/24)。 日本: きりしま、みょうこう。 米国: USS Stethem、USS Decatur。 韓国: 栗谷李珥。 栗谷李珥は BMD 能力を持たない。
》 東京五輪招致、票とりまとめか…仏紙が報道 (読売, 10/21)
》 日産「無資格検査」を誘発した、時代遅れの国交省の認証制度 問題の本質は、実はここにあるのでは (井上 久男 / 現代ビジネス, 10/23)。 ルールを守るのはあたりまえ。しかしルールが時代にそぐわなくなったのなら、 ルールの方を変えるべき。
実はハイテク対応については、深刻な問題も含んでいる。日本がドイツに比べて自動運転の市場導入で出遅れている要因の一つは、日本の型式認証制度にある。ドイツでは、「新車開発の際にバーチャルシミュレーションで実験したデータを国が認めているが、日本では認められていない」(ドイツ系企業幹部)という。
ある自動車メーカーの技術者によると、現在の高速道路における自動追尾程度の「レベル2」の自動運転でも600万シーンを想定した開発が必要だという。「シーン」とは映画の場面と同じ意味で、運転の場面を機械(クルマ)に覚え込ませ対応できるようにしているそうだ。
これが自動運転のレベルがさらに進めば、億単位のシーンを覚え込ませることになるが、バーチャルな試験でないと、とても対応できない。しかし、日本の認証制度ではバーチャルな試験データを認めていない。
日本の法令が効率的な機械学習を阻害していると?!
》 神戸製鋼の件でいい機会だし、アルミについて見直すべきことを主張してみたいと思う。 (御代出 実葉 / 小説家になろう, 10/21)
》 「おはよう」のコメントをFacebookに「攻撃しろ」と誤訳されたパレスチナ人がイスラエル警察に逮捕される (gigazine, 10/24)。Facebook の自動翻訳機能の誤訳によりイスラエル警察が動き、逮捕してしまった事例。
アラビア語がわかる人によると、Facebookで使われているアラビア語の文字は本当の文字とは異なる部分があり、「傷つける」という単語に誤読してしまう可能性が高い状態とのこと。アラビア語話者であればその違いは一目瞭然ですが、他言語話者にとってその違いを見極めることは難しいようで、実際に警察当局のスタッフもアラビア語は話せない人物だったそうです。
》 希望の党の会見場に行ったら、「徹底した情報公開」をしてもらえなかった話 (BuzzFeed, 10/22)。シャットアウト。
》 ベネッセ情報流出訴訟、高裁に差し戻し…最高裁「審理尽くされていない」 (弁護士ドットコム, 10/23)。集団訴訟とは別の件。関連:
ベネッセ個人情報流出事件、最高裁弁論の意義とポイント (弁護士ドットコム, 10/3)
ベネッセ情報漏えい…流出の「不安感」は損害として認められる? 最高裁で弁論 (弁護士ドットコム, 9/29)
ベネッセ大打撃? お詫び500円の情報流出、新たな賠償の可能性…最高裁で9月弁論 (弁護士ドットコム, 8/5)
》 カスペルスキーが自社の透明性を示すためにアンチウイルスソフトのソースコードを公開 (gigazine, 10/24)
》 Linuxカーネル開発コミュニティ、著作権トロール対策を議論 (スラド, 10/19)
》 <超重要*拡散> 伊勢崎賢治さん、山尾しおり応援演説 全文 (Facebook)。山尾氏はともかく、「今、日本の国防の最大の脅威は、安倍政権です」。本当になあ。
》 近畿ブロック(比例区)-候補者-2017衆院選 (朝日)。比例の投票先をいまだに迷っていたり。
》 ウイルスバスター環境でWindows 10 Fall Creators Updateを適用すると死のブルースクリーンが発生する不具合 修正モジュールの配布を開始 (Internet Watch, 10/19)
》 文春スクープ「韓国軍に慰安婦」記事に捏造疑惑 山口敬之のもう一つの“罪” (デイリー新潮, 10/18)
一読すれば、何の綻びもないように映るこの“スクープ”記事は、大宅壮一ノンフィクション賞の候補作にもなった。だが実態は、嘘や勘違い、そして捏造が絡み合ったシロモノだったのだ。
》 「男が痴漢になる理由」なぜ女性も知っておくべきなのか。満員電車でくり返される性暴力 (ハフポスト, 10/19)。 「痴漢という性犯罪の本質は、"支配欲"です」
》 空自浜松基地所属 UH-60J (機体記号 58-4596) 消息を絶つ (10/17)
空自ヘリ墜落か 浜松沖で消息を絶つ (ハフポスト, 10/17)
空自ヘリ不明 夜間の洋上で救助の捜索訓練中 機体消える (毎日, 10/17)
浜松救難隊UH-60Jの行方不明事案、現場付近で空自表記キャビンドア発見 (FlyTeam, 10/18)
航空自衛隊 機材 機体記号: 58-4596 (FlyTeam)
》 航空自衛隊百里基地 誘導路を移動中の戦闘機から出火 (NHK, 10/18)。百里 F-4 炎上の件。
戦闘機は3本ある脚の部分のうち左側の車輪近くが破損していて、防衛省によりますと、左側の車輪が折れて機体が傾き、翼と燃料タンクが地面に接触し、火災が起きたということです。
つづき: 百里基地 戦闘機出火で同型機を緊急点検 (NHK, 10/19)。
Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)
ベンダー情報追加: Apple、ELECOM、フルノシステムズ、NEC、TP-Link、ヤマハ。
ベンダー情報追記: FreeBSD、Red Hat。
》 ハッカー攻撃されるリスクが特別高い人たちにGoogleが“最強のセキュリティ”を提供 (techcrunch, 10/18)
》 「Windows 10 Fall Creators Update」、さっそく試してみました! ~復旧や空き領域確保まで (やじうまの杜, 10/18)。人柱なあなたに。
》 ランサムウェア対策特設ページ (IPA, 10/18)
》 Windows用Chromeブラウザに問題のあるソフトウェアをスキャンして削除するなど3つの新機能が実装される (gigazine, 10/17)
》 さくらでLet's Encryptの常時SSL化が簡単すぎてビックリした件 (さくらインターネット創業日記, 10/17)
》 米国と欧州9カ国が弾道ミサイル防衛演習を実施:SM-3ブロック1BとSM-6の発射実験も (海国防衛ジャーナル, 10/16)、 Formidable Shield 2017: Ship Engages BMD Target during NATO exercise, MDA and Navy conduct SM-6 test launch (US NAVY, 10/15)
》 パナマ文書報道の記者、車爆弾で殺害か 首相は捜査約束 (朝日, 10/17)、 パナマ文書報道に参加の記者暗殺 自動車に爆弾を仕掛けられ (ニューズウィーク日本版, 10/17)。ダフネ・カルアナガリチア Daphne Caruana Galizia 氏。
カルアナガリチアさんは今年ブログで、ムスカット首相の妻がパナマ企業の実質的なオーナーであり、同企業とアゼルバイジャンにある複数の銀行口座の間で多額の資金が動いていたと報じていた。首相は不正を否定するとともに、カルアナガリチアさんを提訴していた。
神戸製鋼不正 「40年以上前から」元社員ら証言 (毎日, 10/17)。複数の証言が得られているようです。知らぬは社長ばかりなり、ということなのだろうか。
神戸製鋼不正 米司法当局が書類提出求める (毎日, 10/17)、米国司法当局からの書類提出要求について (神戸製鋼, 10/17)
神戸製鋼 現場で何が起きているのですか? (NHK, 10/16)
神戸製鋼、「お粗末」な企業統治のツケ (日経 証券部 岡田達也, 10/18)
Oracle 四半期更新出ました。Java SE は 8u151 / 8u152 と 9.0.1 が公開されています。
Java SE Downloads (Oracle)
JDK 8u151 Update Release Notes (Oracle)
JDK 8u152 Update Release Notes (Oracle)
JDK 9.0.1 Release Notes (Oracle)
2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 (JPCERT/CC, 2017.10.18)
Chrome 62.0.3202.62 が stable に。35 件のセキュリティ修正を含む。
関連: 「Google Chrome 62」が正式版に ~HTTP接続のフォームはすべて“非セキュア”扱いへ (窓の杜, 2017.10.18)
Redmine 3.4.3 / 3.3.5 / 3.2.8 リリース (Redmine.JP, 2017.10.16)。XSS 欠陥 1 件を修正。
JVNVU#95530052 - Infineon 製 RSA ライブラリが RSA 鍵ペアを適切に生成しない問題 (JVN, 2017.10.17)。「当該ライブラリは、Trusted Platform Modules (TPM) やスマートカードで使用されている可能性があります」
「インフィニオンテクノロジーズ社のTPM(セキュリティチップ)のファームウェアに関する脆弱性」について (富士通, 2017.10.12)
Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (2017.10.17)
ベンダー情報を大幅に追加。
NHK上田会長。女性記者過労死「重く受け止める」 (BLOGOS, 10/10)
佐戸未和さん過労死「経営委に報告欲しかった」 会見で石原進委員長 (産経, 10/10)
NHKの説明「事実ではない」 過労死記者の遺族が会見 (朝日, 10/13)
「命より大事な仕事など、この世にない」 両親会見 (朝日, 10/13)
【NHK過労死】両親が初めて語った「NHKへの不信感」と「亡き娘への思い」〈会見詳報〉 (文春オンライン, 10/13)
NHK記者過労死 「公表望まず」を両親否定 謝罪、死後4年間なし (毎日, 10/14)
NHK記者、佐戸未和さん過労死のタブーと真相 (杉江義浩OFFICIAL, 10/15)
NHK過労死記者が学生時代に報じたリポート 佐戸さんは「沖国大ヘリ事故」を追っていた (東洋経済, 10/17)
》 フジ、「保毛尾田保毛男」騒動謝罪 番組サイトにお詫び (朝日, 10/16)、 お詫び (フジテレビ とんねるずのみなさんのおかげでした, 10/16)
》 Microsoft's anti-malware sniffing service powers Edge to top spot in browser blocking tests (ComputerWorld, 10/14)、 NSS Labs Conducts First Cross-Platform Test of Leading Web Browsers (NSS Labs, 10/12)。Edge vs Chrome vs Firefox。
無線 LAN で広く利用されている WPA2 プロトコルに複数の欠陥。 WPA2 プロトコルの欠陥のため、WPA2 をサポートする無線 LAN 機器全てに影響がある。 前提条件として、攻撃者は AP とクライアントとの間で中間介入 (MITM) 攻撃を実施できる位置にいなければならない。
4-way handshake を攻撃する場合: クライアントから送信された無線 LAN パケットの解読が可能となる。 結果として、暗号化されていない TCP/IP 通信の盗聴やセッションハイジャックが可能となる。AES-CCMP ではなく WPA-TKIP や GCMP を使用している場合には、これに加えてパケットの改変や挿入も可能となる。
Fast BSS Transition (FT) handshake を攻撃する場合: クライアントから送られるパケットだけでなく、クライアントへと送られるパケットについても解読・改変が可能となる。
CVE-2017-13077 CVE-2017-13078 CVE-2017-13079 CVE-2017-13080 CVE-2017-13081 CVE-2017-13082 CVE-2017-13084 CVE-2017-13086 CVE-2017-13087 CVE-2017-13088
TLS や SSH などで暗号化されている通信はひきつづき保護される。
対応としては、無線 LAN 機器等のベンダーから対応 patch や対応ファームウェアが公開されるはずなので、それを適用する。
Apple
Wi-Fiの「WPA2」脆弱性問題、Appleは次期アップデートで対応 (カミアプ, 2017.10.17)。対応版は現在βテスト中。
Apple 方面、対応版出ました:
About the security content of iOS 11.1 (Apple, 2017.10.31)
About the security content of macOS High Sierra 10.13.1, Security Update 2017-001 Sierra, and Security Update 2017-004 El Capitan (Apple, 2017.10.31)
About the security content of watchOS 4.1 (Apple, 2017.10.31)
About the security content of tvOS 11.1 (Apple, 2017.10.31)
Apple Boot Camp が 6.4.0 で対応されました:
About the security content of Wi-Fi Update for Boot Camp 6.4.0 (Apple, 2018.07.05)
Aruba
ARUBA-PSA-2017-007 (Aruba, 2017.10.16)
Buffalo
無線LAN製品のWPA2の脆弱性について (Buffalo, 2017.10.17)。調査中。
Cisco
Multiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II (Cisco, 2017.10.17 更新)
D-Link
「WPA2の脆弱性」 に関する弊社調査状況について (D-Link, 2017.10.17)。調査中。
Debian
DSA-3999-1 wpa -- security update (Debian, 2017.10.16)
ELECOM
WPA2の脆弱性に関する弊社調査・対応状況について (ELECOM, 2017.10.18)
Extreme
VN 2017-005 - KRACK, WPA2 Protocol Flaw (Extreme, 2017.10.17更新)
フルノシステムズ
【重要なお知らせ】無線LAN製品のWPA2の脆弱性に関するお知らせ (フルノシステムズ, 2017.10.18)
【重要なお知らせ】無線ハンディターミナル製品のWPA2の脆弱性に関するお知らせ (フルノシステムズ, 2017.10.18)
Fortinet
PSIRT Advisory - Key Reinstallation Attacks: Cryptographic/protocol attack against WPA2 (FortiGuard Labs, 2017.10.16)、 FortiAP 5.6.1 Release Notes。
FreeBSD
[FreeBSD-Announce] FreeBSD Security Notice: WPA2 vulnerabilities (FreeBSD, 2017.10.16)。ports の security/wpa_supplicant が対応されたので、 OS 付属のものに換えて使用すれば対応できる。
[FreeBSD-Announce] FreeBSD Security Advisory FreeBSD-SA-17:07.wpa (FreeBSD, 2017.10.16)。SA 出ました。ports の security/wpa_supplicant、 net/hostapd が対応されたので、 OS 付属のものに換えて使用すれば対応できる。
[FreeBSD-Announce] FreeBSD Security Advisory FreeBSD-SA-17:07.wpa [REVISED] (FreeBSD, 2017.10.16)。FreeBSD 10.[34]-RELEASE / 11.[01]-RELEASE 用 patch も出ました。freebsd-update で適用できます。
hostapd / wpa_supplicant
WPA packet number reuse with replayed messages and key reinstallation (w1.fi, 2017.10.16)。hostapd / wpa_supplicant 2.6 用の patch が公開されている。 hostapd / wpa_supplicant 2.7 では最初から修正されている予定。
IO DATA
WPA2の脆弱性に関する弊社調査・対応状況について (IO DATA, 2017.10.16)。調査中。
Juniper
Out-of-Cycle Security Bulletin: Multiple Products: Multiple vulnerabilities in Wi-Fi Protected Access (WPA1/WPA2) protocols (aka KRACK attack). (Juniper, 2017.10.17 更新)。MSS 9.2.1 / 9.6.5 以降で対応。
NEC
【重要】「WPA2」の脆弱性に関するお知らせ (NEC, 2017.10.18)
Netgear
Security Advisory for WPA-2 Vulnerabilities, PSV-2017-2826, PSV-2017-2836, PSV-2017-2837 (Netgear, 2017.10.16)
Red Hat
KRACKs - wpa_supplicant Multiple Vulnerabilities (Red Hat, 2017.10.17)、 RHSA-2017:2907 (RHEL 7 用)。RHEL 6 用はまだない。
RHEL 6 用出ました: RHSA-2017:2911
Stryker
Medical Advisory (ICSMA-19-029-01) Stryker Medical Beds (2019.01.29)。医療用ベッド。 最近は、こういうものも無線 LAN でつながっているのですね。
Sophos
勧告: Sophos Wireless への WPA および WPA2 の脆弱性による鍵再インストール攻撃 (KRACKs) の影響 (Sophos, 2017.10.17)。開発中。
Synology
Synology-SA-17:60 KRACK (Synology, 2017.10.16)。SRM 1.1.5-6542-3 以降で対応。
TP-Link
WPA2 セキュリティの脆弱性に関して(KRACKs) (TP-Link)
Ubuntu
USN-3455-1: wpa_supplicant and hostapd vulnerabilities (Ubuntu, 2017.10.16)
Watchguard
WPA and WPA2 Vulnerabilities Update (Watchguard, 2017.10.16)
Windows
CVE-2017-13080 | Windows Wireless WPA Group Key Reinstallation Vulnerability (Microsoft, 2017.10.16)。2017 年 10 月のセキュリティ更新プログラムで修正されている。
ヤマハ
「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について (ヤマハ, 2017.10.19 更新)。「WLX402、WLX202、WLX302 の WDS機能を使用している場合」に影響あり。
関連:
WPA2の脆弱性 KRACKsについてまとめてみた (piyolog, 2017.10.16)。むしろこれを読め。
WPA2の脆弱性「KRACKs」についてまとめてみた (Developers.IO, 2017.10.17)
JVNVU#90609033 - Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題 (JVN)。日本各社の情報がまとまってきています。
HowTo enable WiFi roaming with hostapd and VLANs (FeM BLOG, 2015.11.03)
ベンダー情報を大幅に追加。
ベンダー情報追加: Apple、ELECOM、フルノシステムズ、NEC、TP-Link、ヤマハ。
ベンダー情報追記: FreeBSD、Red Hat。
Medical Advisory (ICSMA-19-029-01) Stryker Medical Beds (2019.01.29)。医療用ベッドを追記。 最近は、こういうものも無線 LAN でつながっているのですね。
Flash Player 27.0.0.170 公開。任意のコードの実行を招く 0-day 欠陥 CVE-2017-11292 を修正。 Windows 上で動作する攻略プログラムを確認済。
》 Wi-Fi認証のWPA2に複数の脆弱性? 研究者が公表を予告 (CNET, 10/16)、Key Reinstallation Attacks: Breaking the WPA2 Protocol (BlackHat Europe 2017)。情報待ち。
……出た: Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse (krackattacks.com)
》 オープンソースのファイアウォール向けOS「pfSense 2.4.0-RELEASE」リリース (OSDN, 10/13)
》 神戸製鋼 品質データ改竄事件。アルミと銅、だけではなかった。
今回の不適切行為に関するご報告について(鉄粉及び検査会社事例) (神戸製鋼, 10/11)。鉄粉とターゲット材も。
神戸製鋼:線材でも不適切な行為を確認、川崎社長が今夕に会見へ (ブルームバーグ, 10/13)。鉄鋼線材も。
当社及び当社グループ会社における不適切行為に関するご報告について (神戸製鋼, 10/13)。銅管、銅合金管、銅板条、モールド、アルミニウム合金線・合金棒、鋼線、特殊鋼、ステンレス鋼線。
JR東海新幹線部材、JIS基準満たさず 神鋼問題 (日経, 10/12)
神戸製鋼社長「深くおわびする」経産省に改ざん問題報告 (朝日, 10/12)
》 安倍首相が嘘つき全開!森友・加計問題は「選挙で説明する」と言ってたのに、選挙になったら「国会で説明する」 (リテラ, 10/10)
》 「籠池氏は詐欺を働く人間。昭恵も騙された。」は、“首相失格の暴言” (郷原信郎 / BLOGOS, 10/12)。安倍総理、推定無罪を否定。
原発30キロ圏まで補助金拡大 再稼働容認狙う?指摘も (朝日, 10/13)
補助金交付決定の3日後、再稼働を容認 福岡県糸島市 (朝日, 10/13)
》 個人情報大量流出のEquifax、今度は公式サイトに不正なリンク掲載 (ITmedia, 10/13)
》 TwitterのドーシーCEO、アカウント規制について「透明性強化の必要がある」とツイート (ITmedia, 10/13)
》 使っていないSSH接続を自動的に切る方法 (後藤大地 / マイナビニュース, 10/13)。ClientAliveInterval, ClientAliveCountMax の使いかた。
》 政府の言葉と逆行 米軍機の騒音5年で12倍 沖縄・高江、オスプレイ配備後 (沖縄タイムス, 10/4)
》 米海兵隊 CH-53E、飛行中に火災、不時着後炎上か (10/11)
米軍ヘリ、不時着後炎上か 沖縄・東村 (ハフポスト, 10/11)
米海兵隊は「飛行中に火災が発生し、緊急着陸した」と発表した。
米軍ヘリ炎上:100m内で養豚作業中 地主「本当に怖い」 (沖縄タイムス, 10/12)。近隣住民の証言。
乗員と思われる米兵7人は荷物を持ち、事故機から避難。このうち女性から英語で「トラブルで不時着したが大丈夫。近づかないで」との趣旨のことを告げられたという。現場をスマホで撮影する者もいて「ヘリは先端部分から炎が噴き出していたが、尾翼は残っていた」と話す。7人は間もなく現れたヘリ2機のうち1機に乗り込み、その場を去った。
米軍ヘリ事故の消火活動 (時事, 10/12)。炎上する CH-53E に対して、同型機が消火活動を実施。
炎上ヘリ、住宅から200メートル 米軍CH53、民間地で大破 沖国大墜落機の後継型 (琉球新報, 10/12)
米軍ヘリ事故の消火活動 (時事, 10/12)
米軍ヘリ、原形とどめず 村長が現場視察 機体撤去は環境調査後 (沖縄タイムス, 10/12)、 米軍ヘリ事故 激しく損傷 沖縄県が抗議へ (NHK, 10/12)。まる焼け。
燃え残った個所には目立った損傷はないように見えるので、「墜落」と表現するような着陸状況ではなかったと推測。 回転翼も空中給油プローブもきれいに残っている。「墜落」ならこうはいかないだろう。
【動画】米軍ヘリは飛行中に火災 沖縄・東村の民間地で大破、炎上 (沖縄タイムス, 10/12)
菅長官が謝罪「何でもします」 米軍ヘリ炎上で緊迫する高江 (沖縄タイムス, 10/12)。なんでもしてくれるのなら、高江ヘリパッド廃止してもらおう。
関連ツイート:
さすがは読売CIA。米軍ヘリ墜落よりもドローンのバードストライク案件の方がでかい扱い。 pic.twitter.com/6GqiJ7UNXw
— アルルの男・ヒロシ@蘇る立憲民主党 (@bilderberg54) 2017年10月12日
》 中韓通貨スワップが終了 韓国の延長要求、中国拒否か (朝日, 10/11)、中韓の通貨スワップ協定が期限切れ THAAD配備が影響か (NHK, 10/11)。終了。
》 iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開される。 (AAPL Ch., 10/11)、 iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking (Felix Krause, 10/10)
》 IoTやM2M等で使用されるプロトコルMQTTによる探索行為の増加等について (警察庁, 10/6)
》 メルカリの運営会社 盗品などの出品防ぐ対策を発表 (NHK, 10/12)
》 北朝鮮ハッカー、指導部暗殺作戦含む米韓軍事文書入手=韓国議員 (ロイター, 10/11)。「235ギガバイトの軍事文書が国防統合データセンター(DIDC)から流出した」「最高機密指定の情報ではない」
関連: 北朝鮮が韓国軍イントラネットに侵入した方法 (ウォール・ストリート・ジャーナル日本版, 10/12)
韓国軍が使うコンピューターには、同国ネットセキュリティー企業のハウリによるウイルス対策ソフトがインストールされている。北朝鮮はハッキングを仕掛けるに当たり、まずハウリを攻撃。ウイルス対策ソフトにマルウエア(悪意のあるソフトウエア)を組み込み、韓国軍のサーバーに侵入したと関係者らは話す。
アンチウイルスソフトを攻略、ですか。
》 アクセンチュア、機密情報を危険なサーバに放置--秘密鍵やパスワードが外部に (ZDNet, 10/11)。AWS。
》 「Google Home Mini」に周囲の音声を常時録音しGoogleへと送信する不具合が見つかる (gigazine, 10/12)。盗聴器。
》 定番の画像ビューワー「IrfanView」v4.50が公開 ~本体とプラグインの多くがUnicode化 (窓の杜, 10/12)
》 Oracle,連邦政府に「オープンソースは民間企業で使われなくなっているから利用を再考すべき」とアドバイス ―炎上に (Linux Daily Topics, 10/6)
ロシアのハッカーがカスペルスキーのウイルス対策ソフトを使ってNSAの機密情報を盗み出したと判明 (gigazine, 10/6)
Israel hacked Kaspersky, then tipped the NSA that its tools had been breached (Washington Post, 10/10)
ロシア、カスペルスキーのソフトで米機密情報探る (ウォール・ストリート・ジャーナル日本版, 10/12)
今回明らかになった手口では、政府の機密文書に書かれる「最高機密」や米政府プログラムの機密コードネームといった文字を探し出すよう調整を加える必要があり、関係筋は「カスペルスキーが知らない訳はない」と話している。
ロシアによるカスペルスキー製品悪用の疑惑、イスラエルが警告か (CNET, 10/12)
カスペルスキーソフト、ロシアハッカー利用証拠無く=ドイツ (ロイター, 10/12)
「スパイ疑惑報道はC級の創作」とカスペルスキー氏一蹴 (PC Watch, 10/11)
》 OpenSSH 7.6 Release Notes (OpenSSH.com, 10/3)。非サポート: SSH 1、hmac-ripemd160、arcfour、blowfish、CAST。RSA 鍵は 1024 bit 以上でないと駄目。 ssh で RemoteCommand オプション追加、reverse dynamic forwarding 機能追加など。
iida さん情報ありがとうございます。
About the security content of macOS High Sierra 10.13 (2017.09.28)
SEP 14.1 で対応する予定? SEP 14 RU1 (Symantec)
あとトレンドマイクロ: Trend Micro Security (for Mac) 3.0 用 macOS High Sierra 10.13 対応モジュール (エージェントビルド 1118) 公開のお知らせ (トレンドマイクロ, 2017.10.12)
2017 年 10 月のセキュリティ更新プログラム (月例) (2017.10.11)
不具合が発生する場合があるようです。
Windows更新で一部法人に不具合、ログインできなくなる恐れ (日経 IT Pro, 2017.10.12)
Win10 Pro にて 2017/10/10 のWindows Update後から正常に起動できないPCが4台同時発生しました。 (Microsoft コミュニティ, 2017.10.11〜)
2017年10月のWindows Updateメモ (不具合情報あり) (ぼくんちの TV 別館)
APSB17-31 - Updates available for Flash Player (2017.10.11)
Windows Update で Flash Player が更新されない件:
Flash Player 27 および AIR 27 リリースノート (Adobe)
Microsoft Edge および Internet Explorer 11 用 Flash Player アップデート
機能のバグに対処するこの毎月の Flash Player アップデートでは、Windows 8.1 および Windows 10 上の Microsoft Edge および Internet Explorer 用 Flash Player は、「Patch Tuesday」(10 月 10 日)にアップデートされません。このアップデートは、代わりに Microsoft から今月下旬にリリースされます。
》 冤罪File No.29発売中止のお知らせ (「冤罪File」編集局公式ブログ, 10/10)。うわーマジかー orz
》 さくらインターネットがLet's Encryptのスポンサーになりました (さくらインターネット創業日記, 10/11)
》 「OpenBSD 6.2」リリース、カーネル保護機構などを強化 (OSDN, 10/10)
》 アディーレ法律事務所に業務停止2カ月、東京弁護士会発表 事実と異なる宣伝 (弁護士ドットコム, 10/11)。関連:
弁護士法人アディーレ法律事務所に対する景品表示法に基づく措置命令について (消費者庁, 2016.02.16)
弁護士法人アディーレ法律事務所らに対する懲戒処分についての会長談話 (東京弁護士会, 10/11)。消費者庁措置命令から、なぜこんなにも間が空くのだろう。
アディーレ法律事務所業務停止 (壇弁護士の事務室, 10/11)
》 WinSCP 5.11.2 が 10/10 付で公開されてます。
Flash Player 27.0.0.159 公開……なのだけど、「This monthly update addresses functionality bugs」となっており、セキュリティ修正は含まれない? 関連:
Flash Player 27 および AIR 27 リリースノート (Adobe)
2017 年 10 月 10 日
本日の定期リリースでは、Flash Player と Windows AIR SDK に重要なバグ修正が適用されています。
Windows Update で Flash Player が更新されない件:
Flash Player 27 および AIR 27 リリースノート (Adobe)
Microsoft Edge および Internet Explorer 11 用 Flash Player アップデート
機能のバグに対処するこの毎月の Flash Player アップデートでは、Windows 8.1 および Windows 10 上の Microsoft Edge および Internet Explorer 用 Flash Player は、「Patch Tuesday」(10 月 10 日)にアップデートされません。このアップデートは、代わりに Microsoft から今月下旬にリリースされます。
出ました。関連:
今日で「Office 2007」サポート終了、まだ40万台超が日本国内で稼働中~トレンドマイクロ調査 (Internet Watch, 2017.10.11)
2017 年 10 月のセキュリティ更新プログラム (月例) で追加されたイベント ID : 1794 (Ask CORE, 2017.10.11)
不具合が発生する場合があるようです。
Windows更新で一部法人に不具合、ログインできなくなる恐れ (日経 IT Pro, 2017.10.12)
Win10 Pro にて 2017/10/10 のWindows Update後から正常に起動できないPCが4台同時発生しました。 (Microsoft コミュニティ, 2017.10.11〜)
2017年10月のWindows Updateメモ (不具合情報あり) (ぼくんちの TV 別館)
関連:
2017 年 10 月にリリースされた Windows 10 1607 / 1703 向け更新プログラム適用後に OS 起動不可になる問題について (WSUS) (Japan WSUS Support Team Blog, 2017.10.12)
Wireshark 2.4.2 / 2.2.10 / 2.0.16 公開。それぞれ 5 件 / 3 件 / 1 件のセキュリティ修正を含む。
》 原発事故、国と東電に賠償命令 原状回復は却下 福島 (朝日, 10/10)
》 Webカメラが乗っ取られる! ネット機器の脆弱性、検証して専門家に聞いてみた (Internet Watch, 10/10)
》 FirefoxのWindows XP/Vistaサポートは2018年6月で終了 (スラド, 10/8)
》 Office 2007/Office for Mac 2011のサポート、10月10日で終了 (スラド, 10/9)。本日終了。
》 北朝鮮に米軍事力行使 自民39%が「支持」 (東京, 10/9)。共同通信社による、立候補予定者への政策アンケートの結果。 支持は自民候補予定者の 39.6%、希望候補予定者の 21.3%、 公明候補予定者の 3.6%、 共産候補予定者の 0.0%、 立憲民主党候補予定者の 9.3%、 維新候補予定者の 77.5% (!!!)。
》 特別リポート:仮想通貨の死角、詐欺とハッカーと法なき取引所 (ロイター, 10/9)
》 真偽が危ういフェイクニュース時代の総選挙 日本でもファクトチェックが始まった (BuzzFeed, 10/10)
》 iPhoneの隠れた新機能は、「もしも」の時に命を救うかもしれない (BuzzFeed, 10/10)。メディカル ID の件。
メディカル IDは、iOS 11をインストールしたiPhoneであれば、設定次第でロック画面に表示できる。(中略) リスクもある。なぜなら、第三者に医療情報を開示することになるからだ。
》 「Adblock Plus」のニセモノがChromeウェブストアで配布され3万7000人がダウンロードしてしまう事態が発生 (gigazine, 10/10)
》 国連「同性愛者の死刑を非難する決議」に対し、日本はまさかの反対 (ハフポスト, 10/10)。わざわざ反対したのか。
Pink Newsによると、人権理事会に加盟している国47カ国のうち、今回反対したのは、ボツワナ、ブルンジ、エジプト、エチオピア、バングラデシュ、中国、インド、イラク、日本、カタール、サウジアラビア、アラブ首長国連邦、アメリカ合衆国の13カ国。
うわあ、この国の並びに日本が加わるとは。ひでえ。
》 『モーニングショー』で田崎史郎と玉川徹がバトル! 安倍首相のステルス街宣をトンデモ擁護する田崎に玉川が敢然と反論 (リテラ, 10/10)
「これね、安倍さんがヤジに弱いんだと思いますよ。僕はそう思いますよ。国会だって、党首討論とか見ても。ヤジ出ますよそりゃ。ヤジが出るとすぐに答弁止めて、そんな『みなさんヤジなんかやめてください』って言わないじゃないですか、他のいままでの総理だってそんなこと。ヤジありますよ、国会なんだから。(安倍首相は)そういうふうなことを言われるとすぐに(答弁を)止めて、ヤジしている人の批判ばっかりしてるでしょ。だから、安倍総理がとくにヤジに弱いから、だからヤジなんかが出るとまた、こういう(「こんな人たち」発言)ふうなこと言ってしまいかねないから、まわりがステルスせざるをえないってことなんじゃないんですか」
本当になあ。なんでこんなショボい対応なんだろう。 ヤジが恐くて逃げまわるような人に、北朝鮮に圧力だとか言われてもなあ。 ご本人自身もこれだしなあ。
国会でヤジをとばす馬鹿な権力者に対し、主権者たる国民が街頭でヤジを飛ばしてはならないという理由があろうはずがない。権力者が国会で飛ばすヤジは国民に対する侮辱であり、国民が権力者に飛ばすヤジは、主権者たる国民の正当な権限行使である。 pic.twitter.com/arzlIqRFVt
— 弁護士神原元 (@kambara7) 2017年6月30日
》 16年米大統領選でロシア諜報員がグーグルに広告、米紙 (AFPBB, 10/10)。ワシントン・ポスト報道。
Firefox 56.0 / ESR 52.4.0 公開 (2017.09.28)
Thunderbird 52.4.0 出ました。リリースノート、 「Thunderbird」v52.4.0が正式公開、メーリングリストへの返信に関する仕様を改善 (窓の杜, 2017.10.10)
Firefox 56.0.1 も出ています。リリースノート。セキュリティ修正はありません。
変更点 64 ビット版 Windows 上で 32 ビット版 Firefox を使用している場合、安定性やセキュリティの高い 64 ビット版 Firefox へ自動的に移行されます。
手元の 32bit 版 Firefox 56.0 が 64bit 版 56.0.1 に自動移行されたことを確認した。
》 Apache、Equifaxの情報漏洩に関する米国下院委員会質問状の回答を公開 (マイナビニュース, 10/6)
》 欧州委、AppleとAmazonに多額の追徴税 (Computerworld, 10/6)
》 やっぱり世の中は1993年を起点に変わった気がする (さくらインターネット創業日記, 10/4)
》 「ランサムウェア」の認知度が昨年に比べ2倍に、「詳しく知っている」と回答した人は3倍に (Kaspersky / Internet Watch, 10/6)
》 毎月150万近い新たなフィッシングサイトが誕生、質・量ともに拡大中 (Webroot / Internet Watch, 10/6)
》 「ナイトライダー」の「K.I.T.T.」を、2017年のテクノロジーで解説しよう (@IT, 10/4)。KITT 実現には、まだまだ時間がかかりそうだ。
》 「Nexus 5X&6P」のAndroid OSサポート終了 「Pixel 2」日本投入なくアプリ開発者が困惑 (ITmedia, 10/6)
KOBELCOの約束 Next100プロジェクト (神戸製鋼)
KOBELCOの3つの約束
1. 信頼される技術、製品、サービスを提供します
2. 社員一人ひとりを活かし、グループの和を尊びます
3. たゆまぬ変革により、新たな価値を創造します
当社が製造したアルミ・銅製品の一部に関する不適切な行為について (神戸製鋼, 10/8)
神戸製鋼副社長「改ざん、10年近く前から」 一問一答 管理職も把握、組織ぐるみ認める (日経, 10/8)
Apache HTTP サーバー 2.4.28 公開。 セキュリティ欠陥 1 件 (CVE-2017-9798、 Optionsbleed の件) を修正。 2.4.27 用の patch も公開されている。iida さん情報ありがとうございます。
About the security content of macOS High Sierra 10.13 (2017.09.28)
ESET の情報を追加。 あと、macOS High Sierra 10.13 Supplemental Update が 2017.10.05 付で公開されました。 Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ (ITmedia, 2017.09.26) も修正されたようです。
macOS 10.12 以前がひきつづき更新されるのかどうかが問題なのだが、よくわからない。
》 海の向こうの“セキュリティ” 中規模企業におけるランサムウェアおよびIoTセキュリティに関する実態調査 ほか (Internet Watch, 10/5)
》 The Symantec Security Alerts Box has been discontinued. (Symantec)。あらら、そうなのですか。
》 海兵隊の事故率最悪 「クラスA」5.28件 16年10月~17年9月 (琉球新報, 10/6)。 元ねたはこれかな: FY 2017 Mishap Summaries: Mishap Stats File for Current FY (Naval Safety Center)。5.28 は無人機を含めた数 (パワポ 15 枚目)、有人機のみだと 4.40 (パワポ 14 枚目)。 UCI (Upper Confidence Interval) より上、LCI (Lower Confidence Interval) より下の場合には、統計的に有意な変化であり得る。今回の 5.28 / 4.40 は UCI より上であり、注目すべき数値。
》 グーグルのスマートスピーカー「Google Home」「Google Home Mini」日本発売 (ケータイ Watch, 10/5)。Alexa が本命だからなあ。
》 米Yahoo、30億以上の全アカウントの情報流出が明らかに、2013年8月の個人情報漏えいで (Internet Watch, 10/4)
》 ロシアのハッカーがカスペルスキーのウイルス対策ソフトを使ってNSAの機密情報を盗み出したと判明 (gigazine, 10/6)。「ロシアのハッカーはカスペルスキーのソフトの脆弱性を使って、機密情報を盗み出した」。
Android Security Bulletin—October 2017 (Android, 2017.10.02)。patch level は 2017-10-01 と 2017-10-05。 Dnsmasq の件 CVE-2017-14496 は 2017-10-01 で修正。
Pixel / Nexus Security Bulletin—October 2017 (Android, 2017.10.02)
Behind the Masq: Yet more DNS, and DHCP, vulnerabilities (Google, 2017.10.02)。攻略パケットを使って remote から任意のコードを実行できる、など。
dnsmasqに複数の脆弱性(CVE-2017-14491, CVE-2017-14492, CVE-2017-14493, CVE-2017-14494, CVE-2017-14495, CVE-2017-14496, CVE-2017-13704) (SIOS, 2017.10.03)
Qualys Security Advisory - Linux PIE/stack corruption (CVE-2017-1000253) (Qualys, 2017.09.26)。セキュリティ欠陥だとは考えられていなかった fs/binfmt_elf.c: fix bug in loading of PIE binaries (2015.04.04) が実はセキュリティ欠陥で、local user による権限上昇が可能。 CVE-2017-1000253
CVE-2017-1000253: load_elf_binary により十分な容量が割り当てられない (Red Hat, 2017.09.28)、 CVE-2017-1000253 (Red Hat)。patch、回避方法あり。
2年前に修正済みのLinuxカーネル脆弱性に深刻な問題 (ZDNet, 2017.10.03)
Linux Kernelの脆弱性(CVE-2017-1000253) (SIOS, 2017.09.27)
》 LTS版Linuxカーネルのサポート期間、6年間に延長 (スラド, 10/5)
》 「現金保管金庫付きWindowsマシン」として狙われるATM (スラド, 10/5)
》 さくらのクラウドのオブジェクトストレージ障害、発生から1ヶ月以上が過ぎても継続中 (スラド, 10/5)
》 「TOKYO MX」公式サイトに不正アクセス 視聴者のメアド最大37万件流出か (ITmedia, 10/5)、 弊社ホームページに対する不正アクセスによる個人情報流出の可能性について (TOKYO MX, 10/5)
》 最新ウイルス「ドリームボット」初摘発 不正送金事件 (朝日, 10/5)。関連:
インターネットバンキングマルウェア「DreamBot」による被害に注意 (JC3, 3/16)
国内ネットバンキングを狙う新たな脅威「DreamBot」を解析 (トレンドマイクロ セキュリティ blog, 3/16)
仮想通貨取引所等のウェブサイトが インターネットバンキングマルウェア「DreamBot」の標的となるおそれについて (JC3, 8/1)
新たに「ビットコイン」を狙う「URSNIF」を国内で確認 (トレンドマイクロ セキュリティ blog, 8/4)。URSNIF = DreamBot。
》 音喜多駿都議・上田令子都議、「ブラックボックスそのもの」都民ファーストの会に離党届を提出
都民ファーストの会・音喜多駿氏らが離党届 「ブラックボックスそのもの」と小池知事らを批判 (ハフポスト, 10/5)
会見の中で上田氏は、党の資金集めの方法について疑問点を指摘した。
「各都議からは毎月、政務活動費15万円、党費6万円が徴収されている。毎月15万円、55人で1000万円近い政務活動費は血税。いくら払うのか、どういう契約なのかという説明もないのは、まさにブラックボックスと言わざるをえない」
「10月14日に『都民ファーストの会』の政治資金パーティーがある。1枚2万円、各議員の実績によるノルマも課されている」
「(上田氏の地元)江戸川区の平均収入は400万円。2万円のチケットの政治資金パーティーはしたこともない。誰に一体売るのかという思い。政治資金パーティーはかねてより企業団体献金、外国人献金の隠れ蓑との指摘もあり。そのあり方事態が問われなければならなかったはずだ」
これはひどい。まさにブラック政党。
音喜多都議らが都民ファ離党会見(全文1)上田氏、集権的かつ不透明さに懸念 (The PAGE, 10/5)
音喜多都議ら都民ファ離党(全文2)音喜多氏、自らがブラックボックスだった (The PAGE, 10/5)
関連:
建築エコノミスト森山さんのツイート:
指定暴力団「工藤会」(本部・北九州市)の520人で2000万円と比較しても凄いぞ、都民ファーストのブラックっぷり。55人で1000万円以上を上納させる都民ファーストって、工藤会組員一人あたり4万円の5倍。暴力団の五倍も絞り取ってるのか。暴力団より厳しい小池百合子のシステム。 pic.twitter.com/9qtq1Ri452
— 建築エコノミスト森山 (@mori_arch_econo) 2017年10月5日
本日の離党報道と、「都民ファーストの会」執行部の残念な対応について (おときた駿 / BLOGOS, 10/4)。デマを流す政党、都民ファーストの会。
Apache Tomcat における脆弱性に関する注意喚起 (2017.09.25)
7.0.82 / 8.0.47 も公開されてました。iida さん情報ありがとうございます。
Tomcat 7 Software Downloads (Apache Tomcat)
Tomcat 8 Software Downloads (Apache Tomcat)
》 東京は世界屈指の“ボットスポット”~シマンテック調査 (Internet Watch, 9/29)。
》 外注したシステムの脆弱性は誰のせい? 連日の「深刻な脆弱性」にどう向き合い、どう対応するか? (@IT, 10/3)。『連日の「深刻な脆弱性」どう向き合い、どう対応するか』レポート。
》 「ヘイト政治家データベース」学生団体が公開 衆院選の立候補予定者の差別・ヘイトスピーチを紹介 (ハフポスト, 10/3)
》 Java環境なしでマイナンバーカード利用可能に、内閣府がアドオン提供 (日経 IT Pro, 10/3)。IE11 / Chrome。
》 「IoTセキュリティ総合対策」の公表 (総務省, 10/3)。広域の脆弱性スキャン、IoT セキュリティ対策センター(仮称)、……
》 独立メディアが社会を変える―デモクラシー・ナウ!と民衆の政治スピリット― (立憲デモクラシー・金沢大学の会)。 2017.10.10、石川県金沢市、たぶん無料。
》 日産工場の大半で書類偽装 資格者の押印、不正常態化か (朝日, 10/4)
西川広人社長は2日の会見で、「我々の事情で『補助検査員がやっても大丈夫だからやる』ということをしてはいけない、ということを、現場をコントロールする立場の人間がわかっていなかった」と説明した。
しかし、現場では無資格者が有資格者の名前や印章を使って確認したように装っていた。西川氏の認識とは異なり、現場では、不正な行為だとわかったうえであえて補助検査員に担当させていた疑いが強まる。
うわあ……。
ラスベガス銃乱射で59人死亡・数百人負傷、米史上最悪の惨事 (ニューズウィーク日本版, 10/3)
米史上最悪ラスベガス銃乱射から逃げまどう人々 (ニューズウィーク日本版, 10/3)。リンクされている動画を見ると、確かに連射してますね。
ラスベガスのあるネバダ州は、全米でも銃規制が緩い (ニューズウィーク日本版, 10/3)
ネバダ州の法律では、銃を所有するのに許可は必要なく、届け出も義務付けられていない。個人が所有できる銃の数にも制限はない。全米ライフル協会(NRA)によれば、同州では、連邦法に基づいて届け出を出せば、自動小銃と機関銃を所有することもできる。
また、攻撃用武器や50口径ライフル、大容量の弾倉を譲渡したり所有したりすることも禁止されていない。銃器を隠して持ち歩く場合は地元警察の許可証が必要だが、大っぴらに持ち歩くのであれば許可は不要だ。
町山智浩 ラスベガス銃乱射事件と銃規制問題を語る (miyearnZZ Labo, 10/3)。10/3 たまむすび書き起こし。 背景となる状況 (銃国家 USA) がよくわかる解説。
ラスベガス乱射で露呈、高級ホテルの「盲点」 接客業界のセキュリティ体制はゆるいまま (東洋経済, 10/3)
今回、バンプファイア bump fire という、連射用改造パーツが使われたそうで:
ホテルの部屋から銃23丁、連射装置も ラスベガス乱射 (朝日, 10/4)
被害拡大させた「全自動」改造銃 ラスベガス乱射事件 (ウォール・ストリート・ジャーナル日本版, 10/4)
【実弾射撃】M4をフルオートで撃つ!? 疑似フルオート バンプファイア 【マック堺のレビュー動画】 (マック堺公式ホームページ-machsakai-, 2015.10.30)
Slide Fire。 メーカーホームページ。
Bump fire (Wikipedia)
こんな台座まで売られてるみたい: セミオートの自動小銃を合法的に据え置き機関銃にできるガンスタンド「Bump Sled」 (DNA, 2014.01.25)。これが使われたかどうかは不明。
関連:
銃サイレンサー購入緩和で論争再燃 米乱射事件 (ウォール・ストリート・ジャーナル日本版, 10/3)
銃サイレンサー購入緩和案、下院審議の見通し立たず=共和党 (ウォール・ストリート・ジャーナル日本版, 10/4)
ラスベガスでの大量射殺事件発生にもかかわらず 乱射事件をさらにひどいものにしかねない法案を推進する共和党議員たち (デモクラシーナウ, 10/3)。サイレンサーの件の他に、「銃を人から見えないように身に着けたり車に乗せたりして携行することを許可する州から許可しない州へと州境を越えてはいる際、許可されていない州にも銃を隠して携行したまま合法的にはいることを認める」という法案もあるそうで。
Apache Tomcat における脆弱性に関する注意喚起 (2017.09.25)
CVE-2017-12617 について対象範囲が確定、7.0.82 / 8.0.47 / 8.5.23 / 9.0.1 で修正 (7.0.82 / 8.0.47 は未リリース)。
| CVE | 欠陥のある Tomcat | 概要 | 修正済 Tomcat |
|---|---|---|---|
| CVE-2017-12617 | 7.0.x / 8.0.x / 8.5.x / 9.0.x (Windows 版に限らない) | HTTP PUT が有効な場合 (デフォルト無効) に、攻略リクエストによって remote から JSP ファイルのアップロードが可能。これにより任意のコードを実行される。 | 7.0.82 / 8.0.47 / 8.5.23 / 9.0.1 |
参照:
Apache Tomcat における脆弱性に関する注意喚起 (JPCERT/CC, 2017.10.04 改訂)
Fixed in Apache Tomcat 7.0.82 (Apache Tomcat)。未リリース。
Fixed in Apache Tomcat 8.0.47 (Apache Tomcat)。未リリース。
Fixed in Apache Tomcat 8.5.23 (Apache Tomcat)
Fixed in Apache Tomcat 9.0.1 (Apache Tomcat)
》 世界遺産・小笠原の土壌動物壊滅-意外な生物が原因だったことを解明- (日本の研究.com, 10/2)
父島と母島の在来の森林生態系は、陸生ヒモムシの食害のため、分解者の主軸を失い、危機的な状況にあります。(中略) 外来の陸生ヒモムシが生態系に大きなダメージを与えていることが示されたのは、これが世界で初めてです。この事例は、外来生物の影響は、環境により異なること、外来生物の侵入が生態系に及ぼすリスクを、事前に正確に予想することは困難であることを意味しています。
》 「やっちゃえ日産」やっちゃった新車の“無資格検査” (毎日, 10/3)
国交省の立ち入り検査で発覚 → 自浄能力なし
全ての工場 (6工場) で実施 → 常態化
いつから無資格検査が行われていたかは現時点で「わからない」 → わからないくらい昔から?!
関連: 当社の車両製造完成検査工程における問題について (日産, 10/2)
》 東芝、6分間の超高速充電で320km走行可能にする次世代リチウムイオン電池 (PC Watch, 10/3)。「2019年の製品化を目指す」。EV の時代、来るんですかね。
》 CEATEC JAPAN 2017 ガンダムの“ハロ”が会話できるAIロボットに、バンダイナムコがCEATEC JAPANにてデモを披露 (Internet Watch, 10/2)。いよいよリアルに展開ですか。
》 踏切 事故防ぐ高機能検知装置 西武が試行、他社も前向き (毎日, 10/2)。面で障害検知。1次元から2次元へ。
他の会社でも高機能の装置の設置は進みつつある。ただ、価格が従来型の倍ほどするため、多くをすぐに切り替えるのは難しい。
》 小池知事「国政転身」に黄信号?支持率急落、転身反対72%=JX通信社 衆院選第2回情勢調査 (米重克洋 / Yahoo, 10/2)
》 新たな匿名掲示板「5ちゃんねる」が突如登場、「2ch.net」はこのまま消滅へ (Internet Watch, 10/2)
》 Amazon、「Alexa」と「Amazon Echo」を年内に日本で展開と発表 (ケータイ Watch, 10/2)。いよいよ。
》 「今月の最も愚かな特許」にAI・ディープラーニングの足を引っ張りかねない特許が選ばれる (gigazine, 10/2)
》 「制御システムのセキュリティリスク分析ガイド ~ セキュリティ対策におけるリスク分析実施のススメ ~」を公開 (IPA, 10/2)
人事情報を不正閲覧 大阪・富田林市、容疑で書類送検 (産経, 9/8)
職員の懲戒処分について (富田林市, 9/12)
「のぞき見できるものなら…」他人の人事情報に禁断の不正アクセス 職員連続立件の背景に甘いセキュリティー (産経, 9/26)
なぜ、他部署の職員のIDやパスワードが手に入ったのか。
実はIDは職員番号で、市職員であれば簡単に入手できたのだ。一方でパスワードもIDに複数の数字を合わせただけという単純な仕組みだった。
》 アマゾン電子書籍「最優遇契約」見直しの影響は? (鷹野 凌 / 読売, 9/29)
》 ヘルスケア大学「医療記事の大量削除」が判明 信頼性批判に無言の対応 (朽木誠一郎 / BuzzFeed, 9/29)。説明のないまま「600記事以上を削除または非公開に」。
》 熊本地震でデータ捏造か 阪大などチーム、公開中止 (日刊スポーツ, 10/2)。問題のあるデータだったことは確定のようだ。
チームは前震発生後の15日に設置した臨時の地震計のデータを基に、益城町役場南で計測震度6・9という他の地点と比べて特に大きい揺れを記録したと発表。 (中略) 9月下旬に後藤氏と土木学会地震工学委員会に「データに問題がある」と匿名の指摘があった。再度分析したところ、記録した地震波の形が不自然で、重要な問題があると判明した。
後藤浩之准教授のページも参照: 益城町本震記録に関するお詫び (後藤浩之, 9/28)
ICANNがルートゾーンKSKロールオーバーの実施延期を発表 (2017.09.28)
「最近の調査」の内容らしい:
Root Zone KSK Rollover is Postponed (VeriSign, 2017.09.29)
A Look at RFC 8145 Trust Anchor Signaling for the 2017 KSK Rollover (Duane WESSELS / OARC 27, 2017.09.29)
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)