セキュリティホール memo - 2026.06

Last modified: Fri Jul 10 16:55:37 2026 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2026.06.30

いろいろ (2026.06.30)
(various)

Apache Tomcat

  • Fixed in Apache Tomcat 9.0.119 (Apache Tomcat, 2026.06.23)、
    Fixed in Apache Tomcat 10.1.56 (Apache Tomcat, 2026.06.22)、
    Fixed in Apache Tomcat 11.0.23 (Apache Tomcat, 2026.06.22)。6 件のセキュリティ修正を含む。

    Moderate: Security constraints for default servlet ignored method CVE-2026-55956
    Low: EncryptInterceptor not protected against replay attacks CVE-2026-55955
    Low: Logged effective web.xml is incomplete CVE-2026-55276
    Low: Invalid CRL configuration doesn't trigger failure for FFM Connector CVE-2026-53434
    Low: Bad ornext processing in RewriteValve CVE-2026-53404
    Low: XSS in number guess example CVE-2026-50229
  • Important: Authentication bypass with JNDIRealm and GSSAPI authenticated bind CVE-2026-55957 というのが Apache Tomcat 9.0.102 / 10.1.39 / 11.0.5 (2025.03.06〜07 リリース) で修正されていたのだそうで。

    This issue was reported to the Tomcat security team on 14 June 2026. The issue was made public on 29 June 2026.

    調査してみたら既に直っていた、というパターンなのかな。 iida さん情報ありがとうございます。

7-Zip


2026.06.29

追記

「Google Chrome 149」が正式版に ~Windows環境ではPDFファイルの関連付けに専用アイコン (2026.06.03)

 2026.06.23 付で Chrome 149.0.7827.196/197 が、 2026.06.25 付で Chrome 149.0.7827.200/201 が公開されてました。

 Chrome 149.0.7827.196/197:

 Chrome 149.0.7827.200/201:

Firefox 152.0 / ESR 140.12.0 / ESR 115.37.0、Thunderbird 152.0 / 140.12.0esr 公開 (2026.06.17)

 Firefox 152.0.3 公開。セキュリティ修正は無いようです。

いろいろ (2026.06.29)
(various)

libssh2

NSD

PowerDNS Authoritative Server / Recursor / DNSdist


2026.06.26


2026.06.25

いろいろ (2026.06.25)
(various)

curl

  • [SECURITY ADVISORIES] for curl 8.21.0 (oss-sec ML, 2026.06.24)。18 件のセキュリティ欠陥が修正されている。 iida さん情報ありがとうございます。

  • curl作者がクローズドの「Mythos」による17万8000行のコード分析結果を公開 性能をどう評価? (@IT, 2026.06.24 更新)。 ベースとなっているのは Mythos finds a curl vulnerability (Daniel Stenberg, 2026.05.11) の内容。

     ステンバーグ氏によると、Mythosによる初回スキャンの結果を受け取ったのは、2026年5月6日のこと。(中略) Mythosは「確認済みのセキュリティ脆弱性」として5件を報告した。(中略) 最終的に確認済み脆弱性として残ったのは1件のみとなった。

     確認された1件の脆弱性は深刻度「低」のCVEとして、curl 8.21.0のリリースに合わせて2026年6月下旬に公開予定だ。「世間がパニックに陥るような深刻な問題ではない」とステンバーグ氏は説明している。

    2026.05.06 に報告されたとされているものは 1 件だけ。こちら。

Apple A12 / S4 / S5 / A13 SoC

  • Introducing usbliter8 - An A12/A13 SecureROM exploit (Paradigm Shift Technology, 2026.06.18)。 震源地。

  • 旧型の「iPhone」や「iPad」に修正不能な脆弱性--対象機種は? (ZDNet, 2026.06.23)

     この脆弱性の影響を受けるのは、A12またはA13プロセッサーを搭載し、2018年、2019年、または2020年に発売された以下のiPhoneだ。

    • A12 Bionicを搭載:iPhone XS、「iPhone XS Max」「iPhone XR」
    • A13 Bionicを搭載:iPhone 11、「iPhone 11 Pro」「iPhone 11 Pro Max」「iPhone SE(第2世代)」

     また、いずれかのプロセッサーを搭載した「iPad」も対象となる。

    • A12 Bionicを搭載:「iPad Air(第3世代)」「iPad mini(第5世代)」「iPad(第8世代)」
    • A13 Bionicを搭載:「iPad(第9世代)」

     さらに、一部の「Apple Watch」モデルもこの脆弱性の影響を受ける。具体的には、「S4」または「S5」プロセッサーを搭載したモデルで、「Apple Watch Series 4」「Apple Watch Series 5」「Apple Watch SE(第1世代)」が該当する。


2026.06.24

追記

Firefox 152.0 / ESR 140.12.0 / ESR 115.37.0、Thunderbird 152.0 / 140.12.0esr 公開 (2026.06.17)

 Firefox 152.0.2 公開。セキュリティ修正は無いようです。


2026.06.23


2026.06.22

Microsoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」、2026年6月10日のWindows Updateのパッチを全て当てた状態でも攻撃されてしまう結果に
(gigazine, 2026.06.10)

 Windows Defender に 0-day 欠陥。 競合状態が存在するため、成功すると SYSTEM 権限を取得できる。 CVE-2026-50656

2026.07.10 追記:

 Microsoft Defender Elevation of Privilege Vulnerability CVE-2026-50656 (Microsoft) が 2026.07.08 付で改訂されて 2.0 版になった。 DeepL AI 訳を若干修正:

2026年7月8日  マイクロソフトは、CVE-2026-50656 で特定された脆弱性に対処する「Microsoft Malware Protection Engine」の更新プログラムをリリースしました。新しいバージョンがインストールされているかどうかを確認する方法の詳細については、FAQ をご覧ください。
この脆弱性の影響を受ける Microsoft Malware Protection Engineの最後のバージョン 1.1.26050.11
この脆弱性が修正されたMicrosoft Malware Protection Engineの最初のバージョン 1.1.26060.3008

いろいろ (2026.06.22)
(various)

nginx

追記

Firefox 152.0 / ESR 140.12.0 / ESR 115.37.0、Thunderbird 152.0 / 140.12.0esr 公開 (2026.06.17)

 Firefox 152.0.1 公開。セキュリティ修正は無いようです。

 あと Tor Browser 15.0.16 が出ています。iida さん情報ありがとうございます。


2026.06.19

いろいろ (2026.06.19)
(various)

Splunk Enterprise

追記

「Google Chrome 149」が正式版に ~Windows環境ではPDFファイルの関連付けに専用アイコン (2026.06.03)

 2026.06.16 付で Chrome 149.0.7827.155/.156 が出ていたのですね。

いろいろ (2026.06.18) Node.js


2026.06.18

いろいろ (2026.06.18)
(various)

Adobe Experience Manager / Experience Manager Forms / InDesign / InCopy / Substance 3D Sampler / Content Credentials SDK / Dreamweaver / Acrobat Reader / ColdFusion / Format Plugins / Campaign Classic / DNG SDK

nginx

Oracle PeopleSoft Enterprise PeopleTools

Check Point Security Gateways / Spark Firewalls

Node.js

LibreOffice

追記

Firefox 152.0 / ESR 140.12.0 / ESR 115.37.0、Thunderbird 152.0 / 140.12.0esr 公開 (2026.06.17)

 mozillaZine も出てました。


2026.06.17

Firefox 152.0 / ESR 140.12.0 / ESR 115.37.0、Thunderbird 152.0 / 140.12.0esr 公開
(Mozilla, 2026.06.16)

 出てました。

2026.06.18 追記:

 mozillaZine も出てました。

2026.06.22 追記:

 Firefox 152.0.1 公開。セキュリティ修正は無いようです。

 あと Tor Browser 15.0.16 が出ています。iida さん情報ありがとうございます。

2026.06.24 追記:

 Firefox 152.0.2 公開。セキュリティ修正は無いようです。

2026.06.29 追記:

 Firefox 152.0.3 公開。セキュリティ修正は無いようです。

2026.07.02 追記:

 Firefox 152.0.4、Thunderbird 152.0.1 / 140.12.1esr 公開。 セキュリティ修正あり。


2026.06.16

2026 年 6 月のセキュリティ更新プログラム (月例)
(Microsoft, 2026.06.09)

 先週出てましたね。はい。 206 Microsoft CVE + 409 non-MS CVE (内 407 が Chrome 由来、もはやリストされず)。

 不具合が出ている模様。

追記

Windows 0-day 2 件: YellowKey (BitLocker 保護ディスクに無認証でアクセスできる)、GreenPlasma (local user が SYSTEM 権限を取得できる) (2026.05.08)

 Yellow Key の件、Microsoft 2026.06 月例更新で対応された模様。

New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare (2026.06.04)

 IIS は Microsoft 2026.06 月例更新で対応された模様。

「Google Chrome 149」が正式版に ~Windows環境ではPDFファイルの関連付けに専用アイコン (2026.06.03)

 2026.06.11 付で Chrome 149.0.7827.114/.115 が出ていたのですね。


2026.06.09

追記

「Google Chrome 149」が正式版に ~Windows環境ではPDFファイルの関連付けに専用アイコン (2026.06.03)

 「Google Chrome 149」の脆弱性修正はなんと429件、できるだけ早めの更新を (窓の杜, 2026.06.05)。うひ〜。

 と言っている間に Chrome 149.0.7827.102/.103 が来ましたよ。

  • Stable Channel Update for Desktop (Google, 2026.06.08)。Chrome 149.0.7827.102/.103 for Windows / Mac および 149.0.7827.102 for Linux。 74 件のセキュリティ修正を含む。金額蘭 N/A が多い。

  • Chrome for Android Update (Google, 2026.06.08)。Chrome 149 (149.0.7827.102) for Android。

New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare

 Apache 2.4.68 出ました。本件への対応を含みます。 iida さん情報ありがとうございます。

  • Changes with Apache 2.4.68 (apache.org, 2026.06.08)

    SECURITY: CVE-2026-49975: mod_http2 denial of service (cve.mitre.org)
    Memory Allocation with Excessive Size Value vulnerability in Apache HTTP Server's mod_http leads to denial of service via malicious HTTP requests.
    This issue affects Apache HTTP Server: from 2.4.17 through 2.4.67.
    Credits: Quang Luong of Calif.IO in collaboration with OpenAI Codex

2026.06.08

いろいろ (2026.06.08)
(various)

rsync


2026.06.05


2026.06.04

New HTTP/2 Bomb Vulnerability Allows Remote DoS on NGINX, Apache, IIS, Envoy & Cloudflare
(The Hacker News, 2026.06.03)

 少なくとも nginx / Apache httpd / Microsoft IIS / Envoy / Cloudflare Pingora の HTTP/2 実装に欠陥があり、DoS 攻撃を受ける。 Codex を使って発見。

 対応:

 回避するには HTTP/2 を無効にすればよい。

 iida さん情報ありがとうございます。

2026.06.05 追記:

 対応事例:

2026.06.09 追記:

 Apache 2.4.68 出ました。本件への対応を含みます。 iida さん情報ありがとうございます。

2026.06.16 追記:

 IIS は Microsoft 2026.06 月例更新で対応された模様。

いろいろ (2026.06.04)
(various)

TP-Link Archer BE450 / BE7200 Wi-Fi 7ルーター


2026.06.03

追記

Firefox 151.0 / ESR 140.11.0 / ESR 115.36.0、Thunderbird 151.0 / 140.11.0esr 公開 (2026.05.20)

 Firefox 151.0.3 / Firefox for Android 151.0.3 公開。セキュリティ修正を含む。

「Google Chrome 149」が正式版に ~Windows環境ではPDFファイルの関連付けに専用アイコン
(窓の杜, 2026.06.03)

 Chrome 149 が stable に。セキュリティ修正情報についてはまだ未公開。

2026.06.09 追記:

 「Google Chrome 149」の脆弱性修正はなんと429件、できるだけ早めの更新を (窓の杜, 2026.06.05)。うひ〜。

 と言っている間に Chrome 149.0.7827.102/.103 が来ましたよ。

2026.06.16 追記:

 2026.06.11 付で Chrome 149.0.7827.114/.115 が出ていたのですね。

2026.06.19 追記:

 2026.06.16 付で Chrome 149.0.7827.155/.156 が出ていたのですね。

2026.06.29 追記:

 2026.06.23 付で Chrome 149.0.7827.196/197 が、 2026.06.25 付で Chrome 149.0.7827.200/201 が公開されてました。

 Chrome 149.0.7827.196/197:

 Chrome 149.0.7827.200/201:

いろいろ (2026.06.03)
(various)

Android

Go


2026.06.02

いろいろ (2026.06.02)
(various)

Notepad++

Exim

  • Exim Security Advisory for EXIM-Security-2026-05-19.1 / CVE-2026-48840 (Exim, 2026.05.29)。 Exim 4.88〜4.99.3 に欠陥。 SUPPORT_PROXY が有効で hosts_proxy が設定されている場合に発現。初期化されていないスタックメモリーの内容が漏洩する。TCPv6 で 16 バイト、 TCPv4 で 4 バイト。CVE-2026-48840

    Exim 4.99.4 で修正されている。 iida さん情報ありがとうございます。

追記

2026 年 5 月のセキュリティ更新プログラム (月例) (2026.05.14)

 EFI システムパーティションの容量不足で KB5089549 のインストールに失敗するという件があり、KIR で対応という話だったのであまり気にしていなかったのですが、 プレビュー更新プログラム KB5089573 で対応されたそうです。 2026年6月の月例更新プログラムは問題なくインストールできるようになりそうです。


2026.06.01


[セキュリティホール memo]
[私について]