2015年9月30日水曜日

30日 水曜日、先勝

+ RHSA-2015:1840 Important: openldap security update
https://rhn.redhat.com/errata/RHSA-2015-1840.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6908

+ CESA-2015:1840 Important CentOS 6 openldap Security Update
http://lwn.net/Alerts/658704/

+ CESA-2015:1840 Important CentOS 5 openldap Security Update
http://lwn.net/Alerts/658703/

+ Linux kernel 4.2.2, 4.1.9 released
https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.2.2
https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.1.9

+ FreeBSD-SA-15:24.rpcbind rpcbind(8) remote denial of service
https://www.freebsd.org/security/advisories/FreeBSD-SA-15:24.rpcbind.asc
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7236

+ McAfee Vulnerability Manager Access Control Flaw in 'Organizations' Page Lets Remote Users Conduct Cross-Site Request Forgery Attacks
http://www.securitytracker.com/id/1033682

JVNDB-2015-000139 baserCMS における SQL インジェクションの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000139.html

JVNDB-2015-000138 baserCMS におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000138.html

JVNDB-2015-000146 抹茶SNS におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000146.html

JVNDB-2015-000145 抹茶SNS におけるコードインジェクションの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000145.html

JVNDB-2015-000144 抹茶請求書におけるコードインジェクションの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000144.html

JVNDB-2015-000143 抹茶請求書における SQL インジェクションの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000143.html

2015年9月29日火曜日

29日 火曜日、赤口









+ UPDATE: Cisco IOS Software and IOS XE Software mDNS Gateway Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150325-mdns

Barman 1.5.0 released
http://www.postgresql.org/about/news/1613/

JDBC 9.4-1203 released
http://www.postgresql.org/about/news/1612/

JVNDB-2015-000137 iOS アプリ「niconico」における SSL サーバ証明書の検証不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000137.html

JVNDB-2015-000142 Apache Cordova プラグイン cordova-plugin-file-transfer における HTTP ヘッダインジェクションの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000142.html

ITpro EXPO 2015見どころ解説
あのWebサイトのフィッシングサイトを作ってみせます
http://itpro.nikkeibp.co.jp/atcl/column/15/090100208/092900014/?ST=security

RSAがアイデンティティ管理ソフトに新版、不正なアクセス権限の変更を検知可能に
http://itpro.nikkeibp.co.jp/atcl/news/15/092403043/?ST=security

2015年9月28日月曜日

28日 月曜日、大安

+ マイクロソフト セキュリティ アドバイザリ 3097966 不注意で発行されたデジタル証明書により、なりすましが行われる
https://technet.microsoft.com/ja-jp/library/security/3097966

+ RHSA-2015:1834 Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2015-1834.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4500
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4506
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4509
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4511
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4517
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4519
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4520
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4521
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4522
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7180

+ RHSA-2015:1833 Moderate: qemu-kvm security update
https://rhn.redhat.com/errata/RHSA-2015-1833.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5165

+ TortoiseSVN 1.9.2 released
http://tortoisesvn.net/tsvn_1.9_releasenotes.html

+ About the security content of watchOS 2
https://support.apple.com/ja-jp/HT205213
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5916
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5862
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5824
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5841
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5885
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5898
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5874
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5829
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5876
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5847
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5839
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5918
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5919
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8146
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8147
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5922
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5834
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5848
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5845
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5846
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5843
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5863
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5868
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5896
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5903
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3951
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5882
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5869
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5842
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5748
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5899
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5837
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5840
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3414
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3415
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3416
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5522
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5523

+ Google Chrome 45.0.2454.101 released
http://googlechromereleases.blogspot.jp/2015/09/stable-channel-update_24.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1303
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1304

+ Mozilla Firefox 41.0 released
https://www.mozilla.org/en-US/firefox/41.0/releasenotes/

+ nginx 1.9.5 released
http://nginx.org/en/download.html

+ APSB15-23 Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsb15-23.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5568
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5570
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5571
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5572
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5573
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5574
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5575
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5576
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5577
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5578
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5579
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5580
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5581
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5582
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5584
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5587
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5588
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6676
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6677
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6678
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6679
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6682

+ CESA-2015:1834 Critical CentOS 6 firefox Security Update
http://lwn.net/Alerts/658178/

+ CESA-2015:1834 Critical CentOS 7 firefox Security Update
http://lwn.net/Alerts/658179/

+ CESA-2015:1833 Moderate CentOS 6 qemu-kvm Security Update
http://lwn.net/Alerts/658180/

+ CESA-2015:1834 Critical CentOS 5 firefox Security Update
http://lwn.net/Alerts/658177/

+ MFSA 2015-114 Information disclosure via the High Resolution Time API
https://www.mozilla.org/en-US/security/advisories/mfsa2015-114/

+ MFSA 2015-113 Memory safety errors in libGLES in the ANGLE graphics library
https://www.mozilla.org/en-US/security/advisories/mfsa2015-113/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7178
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7179

+ MFSA 2015-112 Vulnerabilities found through code inspection
https://www.mozilla.org/en-US/security/advisories/mfsa2015-112/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4517
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4521
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4522
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7174
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7175
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7176
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7177
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7180

+ MFSA 2015-111 Errors in the handling of CORS preflight request headers
https://www.mozilla.org/en-US/security/advisories/mfsa2015-111/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4520

+ MFSA 2015-110 Dragging and dropping images exposes final URL after redirects
https://www.mozilla.org/en-US/security/advisories/mfsa2015-110/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4519

+ MFSA 2015-109 JavaScript immutable property enforcement can be bypassed
https://www.mozilla.org/en-US/security/advisories/mfsa2015-109/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4516

+ MFSA 2015-108 Scripted proxies can access inner window
https://www.mozilla.org/en-US/security/advisories/mfsa2015-108/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4502

+ MFSA 2015-107 Out-of-bounds read during 2D canvas display on Linux 16-bit color depth systems
https://www.mozilla.org/en-US/security/advisories/mfsa2015-107/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4512

+ MFSA 2015-106 Use-after-free while manipulating HTML media content
https://www.mozilla.org/en-US/security/advisories/mfsa2015-106/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4509

+ MFSA 2015-105 Buffer overflow while decoding WebM video
https://www.mozilla.org/en-US/security/advisories/mfsa2015-105/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4511

+ MFSA 2015-104 Use-after-free with shared workers and IndexedDB
https://www.mozilla.org/en-US/security/advisories/mfsa2015-104/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4510

+ MFSA 2015-103 URL spoofing in reader mode
https://www.mozilla.org/en-US/security/advisories/mfsa2015-103/
VE-2015-4508

+ MFSA 2015-102 Crash when using debugger with SavedStacks in JavaScript
https://www.mozilla.org/en-US/security/advisories/mfsa2015-102/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4507

+ MFSA 2015-101 Buffer overflow in libvpx while parsing vp9 format video
https://www.mozilla.org/en-US/security/advisories/mfsa2015-101/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4506

+ MFSA 2015-100 Arbitrary file manipulation by local user through Mozilla updater
https://www.mozilla.org/en-US/security/advisories/mfsa2015-100/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4505

+ MFSA 2015-99 Site attribute spoofing on Android by pasting URL with unknown scheme
https://www.mozilla.org/en-US/security/advisories/mfsa2015-99/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4476

+ MFSA 2015-98 Out of bounds read in QCMS library with ICC V4 profile attributes
https://www.mozilla.org/en-US/security/advisories/mfsa2015-98/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4504

+ MFSA 2015-97 Memory leak in mozTCPSocket to servers
https://www.mozilla.org/en-US/security/advisories/mfsa2015-97/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4503

+ MFSA 2015-96 Miscellaneous memory safety hazards (rv:41.0 / rv:38.3)
https://www.mozilla.org/en-US/security/advisories/mfsa2015-96/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4500
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4501

+ phpMyAdmin 4.5.0.2, 4.5.0.1 released
https://www.phpmyadmin.net/news/2015/9/25/phpmyadmin-4502-release-notes/
https://www.phpmyadmin.net/news/2015/9/24/phpmyadmin-4501-release-notes/

+ Cisco IOS and IOS XE Software IPv6 First Hop Security Denial of Service Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150923-fhs
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6279
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6278

+ Cisco IOS XE Software Network Address Translation Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150923-iosxe
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6282

+ Cisco IOS and IOS XE Software SSH Version 2 RSA-Based User Authentication Bypass Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150923-sshpk
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6280

+ UPDATE: Multiple Vulnerabilities in OpenSSL (January 2015) Affecting Cisco Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150310-ssl

+ Linux kernel 4.2.1, 4.1.8, 3.14.53, 3.12.48, 3.10.89, 3.4.109, 2.6.32.68 released
https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.2.1
https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.1.8
https://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.14.53
https://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.12.48
https://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.10.89
https://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.4.109
https://www.kernel.org/pub/linux/kernel/v2.6/longterm/v2.6.32/ChangeLog-2.6.32.68

+ Apache Log4j 2.4 released
http://logging.apache.org/log4j/2.x/changes-report.html#a2.4

+ Apache POI 3.13 available
http://www.apache.org/dyn/closer.lua/poi/release/RELEASE-NOTES.txt

+ Apache Struts 2.3.24.1 released
http://struts.apache.org/announce.html#a20150924

+ S2-026 Special top object can be used to access Struts' internals
http://struts.apache.org/docs/s2-026.html

+ S2Container.NET 1.4.1, 1.3.20 released
https://github.com/seasarorg/s2container.net/blob/Branch_9fa203d7d48a682597ac03f198b66ccdd9997227/s2container.net/Changes.2013.txt
https://github.com/seasarorg/s2container.net/blob/s2container.net-v1.3-for.NET2.0/s2container.net/Changes.2013.txt

+ JVNVU#92999848 HTTP リクエスト経由で設定された Cookie によって HTTPS 接続がバイパスされたり情報漏えいが発生する問題
http://jvn.jp/vu/JVNVU92999848/

+ VU#804060 Cookies set via HTTP requests may be used to bypass HTTPS and reveal private information
http://www.kb.cert.org/vuls/id/804060

+ Windows 10 and others - kernel buffer overflow in NtGdiBitBlt PoC
https://cxsecurity.com/issue/WLB-2015090152
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2512

PostgresDAC meets RAD Studio 10 Seattle!
http://www.postgresql.org/about/news/1610/

記者の眼
蔓延するセキュリティの勘違い、いま一度確認を
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/092400377/?ST=security

チェックしておきたい脆弱性情報<2015.09.28>
http://itpro.nikkeibp.co.jp/atcl/column/14/268561/091900078/?ST=security

チェックしておきたい脆弱性情報<2015.09.25>
http://itpro.nikkeibp.co.jp/atcl/column/14/268561/091900077/?ST=security

堺市職員が100世帯分の国勢調査情報を一時紛失、不祥事が続くもずさんな管理は変わらず
http://itpro.nikkeibp.co.jp/atcl/news/15/092403040/?ST=security

米政府人事管理局の情報漏えい、指紋データ盗難は560万人分
http://itpro.nikkeibp.co.jp/atcl/news/15/092403039/?ST=security

App Storeの一部にマルウエア感染、「不正アプリは削除済み」とApple
http://itpro.nikkeibp.co.jp/atcl/news/15/092403035/?ST=security

堺市の有権者情報約68万人分はなぜ持ち出されたのか、市の調査担当者に聞く
http://itpro.nikkeibp.co.jp/atcl/news/15/091803030/?ST=security

JVNVU#99921475 refbase (Web Reference Database) に複数の脆弱性
http://jvn.jp/vu/JVNVU99921475/

2015年9月18日金曜日

About the security content of iOS 9

About the security content of iOS 9
https://support.apple.com/ja-jp/HT205212

上記 URL の iOS のセキュリティアップデートの翻訳

1) Apple Pay

 トランザクションログ機能がある設定で有効となることが原因で、支払処理の時に、あるカードが端末に制限された最近のトランザクション情報を読み出すことを許す脆弱性。(CVE-2015-5916)

2) ApplyKeyStore

 iOS 端末のバックアップ時に試された失敗したパスコードをリセット処理に欠陥が存在することが原因で、ローカルの攻撃者が iOS 端末のバックアップ時に試された失敗したパスコードをリセットできる脆弱性。(CVE-2015-5850)

3) Application Store

 ITMS リンクを通したインストール処理に欠陥が存在することが原因で、悪意のある ITMS リンクをクリックすることで署名されたアプリケーションのサービスを停止させる脆弱性。(CVE-2015-5856)

4) Audio

 音声ファイルの取扱処理にメモリ破壊の欠陥が存在することが原因で、悪意のある音声ファイルを再生することでアプリケーションを異常終了させる脆弱性。(CVE-2015-5862)

5) Certificate Trust Policy

 信頼証明書ポリシーを更新

6) CFNetwork

 HTTP Strict Transport Security (HSTS) の取扱処理に URL 解析の脆弱性が存在することが原因で、悪意のある URL が HSTS を回避して重要なデータをリークできる脆弱性。(CVE-2015-5858)

7) CFNetwork

 Safari のプライベート閲覧モードにおける HSTS 状態の取扱に欠陥が存在することが原因で、悪意のある Web サイトにて Safari のプライベート閲覧モードでもユーザを追跡できる脆弱性。(CVE-2015-5860)

8) CFNetwork

 キャッシュデータがハードウェアの UID によってだけ保護されたキーで暗号化されていることが原因で、iOS 端末に物理的に操作できる人が Apple アプリケーションからキャッシュデータを読み込める脆弱性。(CVE-2015-5898)

9) CFNetwork Cookies

 トップレベルドメインの取扱にクロスドメイン Cookies の欠陥が存在することが原因で、ネットワークの特権を持つ攻撃者がユーザの活動を追跡できる脆弱性。(CVE-2015-5885)

10) CFNetwork Cookies

 WebKit が document.cookie API に設定された複数 cookie を受付けることが原因で、攻撃者が Web サイトの意図しない cookie を生成できる脆弱性。(CVE-2015-3801)

11) CFNetwork FTPProtocol

 クライアントが FTP プロキシを利用していると、FTP パケットの取扱処理に欠陥が存在することが原因で、悪意のある FTP サーバが他のホスト上で偵察を実施できる脆弱性。(CVE-2015-5912)

12) CFNetwork Proxies

 プロキシ接続応答の取扱処理に欠陥が存在することが原因で、悪意のある Web プロキシに接続することで Web サイトのための悪意のある Cookie を設定する脆弱性。(CVE-2015-5841)

13) CFNetwork SSL

 証明書を変更する時に NSURL に証明書検証処理の欠陥が存在することが原因で、ネットワークの特権を持つ攻撃者が SSL/TLS 接続を傍受できる脆弱性。(CVE-2015-5824)

14) CFNetwork SSL

 RC4 の機密性への知られている攻撃がある。攻撃者は SSL によって保護されたデータを解読することができる脆弱性。

15) CoreAnimation

 アプリケーションがバックグラウンドにいるときにスクリーンのフレームバッファにアクセスできることが原因で、悪意のあるアプリケーションが重要なユーザ情報をリークできる脆弱性。(CVE-2015-5880)

16) CoreCrypto

 複数の署名または複合化された攻撃を観測することによって、攻撃者が RSA プライベートキーを決定できる脆弱性。

17) CoreText

 フォントファイルの処理にメモリ破壊の欠陥が存在することが原因で、悪意のあるフォントファイルを処理することで任意のコードを実行できる脆弱性。(CVE-2015-5874)

18) Data Detectors Engine

 テキストファイルの処理にメモリ破壊の欠陥が存在することが原因で、悪意のあるテキストファイルを処理することで任意のコードを実行できる脆弱性。(CVE-2015-5829)

19) Dev Tools

 dyld にメモリ破壊の欠陥が存在することが原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行できる脆弱性。(CVE-2015-5876)

20) Disk Images

 DiskImages にメモリ破壊の欠陥が存在することが原因で、ローカルのユーザがシステム権限で任意のコードを実行できる脆弱性。(CVE-2015-5847)

21) dyld

 実行可能なコード署名の検証に欠陥が存在することが原因で、アプリケーションがコード署名を回避できる脆弱性。(CVE-2015-5839)

22) Game Center

 Game Center 内のプレイヤーの電子メールの取扱処理に欠陥が存在することが原因で、悪意のある Game Center アプリケーションがプレイヤーの電子メールアドレスにアクセスできる脆弱性。(CVE-2015-5855)

23) ICU

 ICU バージョン 53.10 以前に複数の脆弱性が存在するため、バージョン 55.1 にアップデートする。

24) IOAcceleratorFamily

 カーネルメモリの内容を開示する欠陥が存在することが原因で、悪意のあるアプリケーションがカーネルメモリレイアウトを決定できる脆弱性。(CVE-2015-5834)

25) IOAcceleratorFamily

 IOAccelerratorFamily にメモリ破壊の欠陥が存在することが原因で、ローカルのユーザがシステム権限で任意のコードを実行できる脆弱性。(CVE-2015-5848)

26) IOHIDFamily

 IOHIDFamily にメモリ破壊の欠陥が存在することが原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行できる脆弱性。(CVE-2015-5867)

27) IOKit

 カーネルにメモリ破壊の欠陥が存在することが原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行できる脆弱性。(CVE-2015-5844, CVE-2015-5845, CVE-2015-5846)

28) IOMobileFrameBuffer

 IOMobileFrameBuffer にメモリ破壊の欠陥が存在することが原因で、ローカルのユーザがシステム権限で任意のコードを実行できる脆弱性。(CVE-2015-5843)

29) IOStorageFamily

 カーネルにメモリ初期化の欠陥が存在することが原因で、ローカルの攻撃者がカーネルメモリを読み込める脆弱性。(CVE-2015-5863)

30) iTunes Store

 キーチェーン削除に欠陥が存在することが原因で、AppleID 認証情報がサインアウト後にキーチェーンに残る脆弱性。(CVE-2015-5832)

31) JavaScriptCore

 WebKit にメモリ破壊の欠陥が存在することが原因で、悪意のある Web サイトを閲覧することで任意のコードが実行される脆弱性。(CVE-2015-5791, CVE-2015-5793, CVE-2015-5814, CVE-2015-5816, CVE-2015-5822, CVE-2015-5823)

32) Kernel

 カーネルにメモリ破壊の欠陥が存在することが原因で、ローカルのユーザがシステム権限で任意のコードを実行できる脆弱性。(CVE-2015-5868, CVE-2015-5896, CVE-2015-5903)

33) Kernel

 ユーザ空間スタック cookie の生成に複数の弱点が存在することが原因で、ローカルの攻撃者がスタック cookie の値を制御できる脆弱性。(CVE-2013-3951)

34) Kernel

 processor_set_tasks API を用いた root プロセスが他のプロセスのタスクポートを読み出せる欠陥が存在することが原因で、ローカルのプロセスが資格チェックなしに他のプロセスを変更できる脆弱性。(CVE-2015-5882)

35) Kernel

 TCP パケットヘッダーの xnu 検証に欠陥が存在することが原因で、攻撃者が正しいシーケンス番号を知ることなしにターゲットの TCP 接続に攻撃してサービス拒否を起こすことができる脆弱性。(CVE-2015-5879)

36) Kernel

 IPv6 ルータのアドバタイスメントの取扱に不十分な検証の欠陥が存在することが原因で、ローカル LAN セグメント内の攻撃者が IPv6 ルーティングを無効にできる脆弱性。(CVE-2015-5869)

37) Kernel

 カーネルメモリの開示を導く XNU の欠陥が存在することが原因で、ローカルユーザがカーネルメモリレイアウトを決定できる脆弱性。(CVE-2015-5842)

38) Kernel

 HFS ドライブマウンティングに欠陥が存在することが原因で、ローカルユーザがサービス拒否を引き起こすことができる脆弱性。(CVE-2015-5748)

39) libc

 カーネルにメモリ破壊の欠陥が存在することが原因で、ローカルユーザがカーネル特権で任意のコードを実行できる脆弱性。(CVE-2014-8611)

40) libpthread

 カーネルにメモリ破壊の欠陥が存在することが原因で、ローカルユーザがカーネル特権で任意のコードを実行できる脆弱性。(CVE-2015-5899)

41) Mail

 送信者アドレスの取扱処理に欠陥が存在することが原因で、攻撃者が受領者のアドレス帳内の規約から来るために現れる電子メールを送信できる脆弱性。(CVE-2015-5857)

42) Multipeer Connectivity

 暗号化が暗号化されていないセッションにダウングレードするような利便性初期化処理に欠陥が存在することが原因で、ローカルの攻撃者が保護されていない multipeer データを観察できる脆弱性。(CVE-2015-5851)

43) NetworkExtension

 カーネルメモリの開示を導くカーネルの欠陥が存在することが原因で、悪意のあるアプリケーションがカーネルメモリレイアウトを決定できる脆弱性。(CVE-2015-5831)

44) OpenSSL

 OpenSSL バージョン 0.9.8zg 以前に複数の脆弱性が存在する。バージョン 0.9.8zg にアップデートする。(CVE-2015-0286, CVE-2015-0287)

45) PluginKit

 インストール処理中の拡張の検証に欠陥が存在することが原因で、悪意のある企業向けアプリケーションが信頼されたアプリケーションの前に拡張をインストールできる脆弱性。(CVE-2015-5837)

46) removefile

 checkint division ルーチンにオーバーフロー失敗が存在することが原因で、悪意のあるデータを処理することでアプリケーションの異常終了を起こさせる脆弱性。(CVE-2015-5840)

47) Safari

 Safari のブックマークデータがハードウェアの UID によって保護されたキーで暗号化されていることが原因で、ローカルユーザがパスコードなしにロックされた iOS 端末の Safari のブックマークを読み込める脆弱性。(CVE-2015-5903)

48) Safari

 Web サイトに異なる Web サイトから URL で中身を表示することを許す欠陥が存在することが原因で、悪意のある Web サイトを閲覧することでユーザインタフェースのなりすましを導く脆弱性。(CVE-2015-5904)

49) Safari

 不正な形式のウィンドウオープナーで悪意のある Web サイトの閲覧が任意の URL の表示を許すことが原因で、悪意のある Web サイトを閲覧することでユーザインターフェースのなりすましを導く脆弱性。(CVE-2015-5905)

50) Safari

 SSL 認証のための Safari のクライアント証明書一致処理に欠陥が存在することが原因で、ユーザがクライアント証明書を使って悪意のある Web サイトによって追跡される脆弱性。(CVE-2015-1129)

51) Safari

 複数のユーザインターフェースの矛盾が原因で、悪意のある Web サイトを閲覧することでユーザインターフェースのなりすましを許す脆弱性。(CVE-2015-5764, CVE-2015-5765, CVE-2015-5767)

52) Safari Safe Browsing

 Safari の安全閲覧機能が IP アドレスによって知られた悪意のある Web サイトを閲覧する時にユーザを警告しない脆弱性。

53) Security

 悪意のあるアプリにアプリ間の URL スキーマ通信を遮断することを許す脆弱性。(CVE-2015-5835)

54) Siri

 要求が Siri に作られる時、クライアント側の制約がサーバによってチェックされないことが原因で、iOS 端末に物理的にアクセスできる人がロック画面により表示していないように設定されている中身の通知を Siri を使って読める脆弱性。(CVE-2015-5892)

55) SpringBoard

 ロック画面がメッセージのプレビューが表示されている時に音声メッセージでの返信を許す脆弱性。(CVE-2015-5861)

56) SpringBoard

 特権 API 呼び出しでのアクセスに欠陥が存在することが原因で、悪意のあるアプリケーションが他のアプリケーションのダイアログ画面になりすませる脆弱性。(CVE-2015-5838)

57) SQLite

 SQLite v3.8.5 に複数の脆弱性が存在するため、バージョン 3.8.10.2 にアップデートする。

58) tidy

 Tidy にメモリ破壊の欠陥が存在することが原因で、悪意のある Web サイトを閲覧することで任意のコードを実行できる脆弱性。(CVE-2015-5522, CVE-2015-5523)

59) WebKit

 オリジン間の分離バウンダリを壊すオブジェクトの欠点が存在することが原因で、オブジェクトがカスタムイベント、メッセージイベント及びポップ状態イベント上の分離したオリジンをリークできる脆弱性。(CVE-2015-5827)

60) WebKit

 WebKit にメモリ破壊の欠陥が存在することが原因で、悪意のある Web サイトを閲覧することで任意のコードを実行できる脆弱性。(CVE-2015-5789, CVE-2015-5790, CVE-2015-5792, CVE-2015-5794, CVE-2015-5795, CVE-2015-5796, CVE-2015-5797, CVE-2015-5799, CVE-2015-5800, CVE-2015-5801, CVE-2015-5802, CVE-2015-5803, CVE-2015-5804, CVE-2015-5805, CVE-2015-5806, CVE-2015-5807, CVE-2015-5809, CVE-2015-5810, CVE-2015-5811, CVE-2015-5812, CVE-2015-5813, CVE-2015-5817, CVE-2015-5818, CVE-2015-5819, CVE-2015-5821)

61) WebKit

 tel://、facetime://、facetime-audio:// URL の取扱に欠陥が存在することが原因で、悪意のある Web サイトを閲覧することで意図的でない電話をする脆弱性。(CVE-2015-5820)

62) WebKit

 WebKit のパスワード入力コンテキストの取扱に欠陥が存在することが原因で、QuickType が Web のフォームにあるパスワードの最後の文字を知ることができる脆弱性。(CVE-2015-5906)

63) WebKit

 不正な証明書でサイト上のリソースキャッシュの取扱に欠陥が存在することが原因で、ネットワークの特権を持つ攻撃者が悪意のあるドメインにリダイレクトできる脆弱性。(CVE-2015-5907)

64) WebKit

 Safari がクロスオリジンのスタイルシートにクロスオリジンデータから引き出されて使われる non-CSS MIME タイプでロードすることを許すことが原因で、悪意のある Web サイトがクロスオリジンのデータを脱出できる脆弱性。(CVE-2015-5826)

65) WebKit

 WebKit の Performance API が悪意のある Web サイトに計測時間によって履歴、ネットワーク活動状況及びマウスの移動をリークすること許す脆弱性。(CVE-2015-5825)

66) WebKit

 タイプアタッチメントを含む Content-Disposition ヘッダーに欠陥が存在することが原因で、ネットワークの特権を持つ攻撃者が重要なユーザ情報をリークできる脆弱性。(CVE-2015-5921)

67) WebKit Canvas

 WebKit の "canvas" エレメントイメージにクロスオリジンの欠陥が存在することが原因で、悪意のある Web サイトを閲覧することで他の Web サイトから画像データをさらすことができる脆弱性。(CVE-2015-5788)

68) WebKit Page Loading

 不十分なポロシー施行が WebSocket に混在した中身をロードすることを許す脆弱性。

18日 金曜日、先勝

+ PHP 7.0.0 RC 3 Released
http://php.net/archive/2015.php#id2015-09-17-2

+ JVNVU#99970459 複数の Apple 製品の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU99970459/

+ Apple Xcode Server Flaws Let Remote Users Obtain Potentially Sensitive Information on the Target System
http://www.securitytracker.com/id/1033596
CVE-2015-5909
CVE-2015-5910

JVNDB-2015-000136 H2O におけるディレクトリトラバーサルの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000136.html

やばいぞ日本、セキュリティ最前線からの警告
やばいぞ人材、攻撃者目線のメンバーも欠かせない
http://itpro.nikkeibp.co.jp/atcl/column/15/090800214/090800005/?ST=security

サーバー証明書の無料配布プロジェクト「Let's Encrypt」、最初の証明書を発行
http://itpro.nikkeibp.co.jp/atcl/news/15/091703018/?ST=security

2015年9月17日木曜日

17日 木曜日、赤口

+ About the security content of OS X Server v5.0.3
https://support.apple.com/ja-jp/HT205219
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3581
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3583
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8109
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0228
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0253
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3183
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3185
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8500
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1349
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0067
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8161
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0241
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0242
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0243
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0244
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3165
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3166
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3167
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5911

+ About the security content of iTunes 12.3
https://support.apple.com/ja-jp/HT205221
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1157
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3686
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3687
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3688
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5755
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5761
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5874
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8146
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1205
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3190
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1152
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1153
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3730
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3731
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3733
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3734
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3735
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3736
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3737
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3738
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3739
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3740
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3741
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3742
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3743
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3744
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3745
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3746
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3747
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3748
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3749
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5789
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5790
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5791
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5792
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5793
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5794
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5795
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5796
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5798
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5799
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5800
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5801
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5802
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5803
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5804
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5805
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5806
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5807
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5808
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5809
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5810
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5811
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5812
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5813
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5814
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5815
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5816
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5817
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5818
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5819
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5821
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5822
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5823
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5920

+ About the security content of Xcode 7.0
https://support.apple.com/ja-jp/HT205217
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3185
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6394
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5910
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5909
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0248
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0251

+ About the security content of iOS 9
https://support.apple.com/ja-jp/HT205212
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5916
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5850
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5856
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5862
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5858
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5860
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5898
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5885
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3801
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5912
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5841
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5824
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5880
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5874
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5829
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5876
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5847
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5839
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5855
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8146
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1205
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5834
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5848
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5867
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5845
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5846
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5843
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5863
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5832
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5791
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5793
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5814
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5816
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5822
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5823
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5868
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5896
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5903
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3951
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5882
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5879
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5869
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5842
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5748
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8611
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5899
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5857
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5851
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5831
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0286
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0287
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5837
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5840
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5903
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5904
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5905
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1129
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5764
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5765
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5767
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5835
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5892
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5861
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5838
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5895
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5522
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5523
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5827
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5789
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5790
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5792
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5794
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5795
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5796
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5799
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5800
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5801
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5802
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5803
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5804
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5805
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5806
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5807
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5809
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5810
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5811
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5812
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5813
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5817
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5818
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5819
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5821
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5820
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5906
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5907
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5826
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5825
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5921
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5788

+ CESA-2015:1778 Important CentOS 7 kernel Security Update
http://lwn.net/Alerts/657502/

+ ISC DHCP 4.3.3 released
https://kb.isc.org/article/AA-01297

+ BIND 9.10.3, 9.9.8 released
ftp://ftp.isc.org/isc/bind9/9.10.3/RELEASE-NOTES.bind-9.10.3.html
ftp://ftp.isc.org/isc/bind9/9.9.8/RELEASE-NOTES.bind-9.9.8.html

+ UPDATE: OpenSSL Alternative Chains Certificate Forgery Vulnerability (July 2015) Affecting Cisco Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150710-openssl

+ Cisco TelePresence Server Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150916-tps
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6284

+ Multiple Vulnerabilities in Cisco Prime Collaboration Assurance
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150916-pca
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4304
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4305
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4306

+ Cisco Prime Collaboration Provisioning Web Framework Access Controls Bypass Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150916-pcp
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4307

+ VMSA-2015-0006 VMware vCenter Server updates address a LDAP certificate validation issue
http://www.vmware.com/security/advisories/VMSA-2015-0006.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6932

+ SYM15-009 Security Advisories Relating to Symantec Products - Symantec Web Gateway Security Management Console Multiple Issues
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20150916_00
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5690
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5691
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5692
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5693
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6547
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6548

+ VMware vCenter Server Lets Remote Users Bypass LDAP Certificate Validation to Access Data Transmitted by the Target System
http://www.securitytracker.com/id/1033582
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6932

JVNDB-2015-000135 Photon におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000135.html

JVNDB-2015-000134 AI黒白棋におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000134.html

JVNDB-2015-000133 こりトレにおけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000133.html

JVNDB-2015-000132 MEGAPHONE MUSIC におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000132.html

JVNDB-2015-000131 Auction Camera におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000131.html

JVNDB-2015-000130 アプリカンにおけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000130.html

やばいぞ日本、セキュリティ最前線からの警告
やばいぞマネージド・セキュリティ・サービス、安かろう悪かろうを排除する
http://itpro.nikkeibp.co.jp/atcl/column/15/090800214/090800004/?ST=security

UPDATE: JVNVU#99671861 UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
http://jvn.jp/vu/JVNVU99671861/

2015年9月16日水曜日

16日 水曜日、大安

+ RHSA-2015:1793 Moderate: qemu-kvm security fix update
https://rhn.redhat.com/errata/RHSA-2015-1793.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5165

+ RHSA-2015:1778 Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2015-1778.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9585
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0275
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1333
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3212
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4700
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5364
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5366

+ Google Chrome 45.0.2454.93 released
http://googlechromereleases.blogspot.jp/2015/09/stable-channel-update_15.html

+ Opera 32 released
http://www.opera.com/docs/changelogs/unified/3200/

+ Recursive Client Rate limiting in BIND 9.9.8 and 9.10.3 (production release)
https://kb.isc.org/article/AA-01304

+ UPDATE: OpenSSL Alternative Chains Certificate Forgery Vulnerability (July 2015) Affecting Cisco Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150710-openssl

+ UPDATE: Oracle Solaris Third Party Bulletin - July 2015
http://www.oracle.com/technetwork/topics/security/bulletinjul2015-2511963.html

+ Microsoft Windows Media Center MCL Code Execution
https://cxsecurity.com/issue/WLB-2015090089
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2509

News & Trend
防げ情報漏洩、利用部門のセキュリティ担当者向け試験が来春登場
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/091400342/?ST=security

やばいぞ日本、セキュリティ最前線からの警告
やばいぞCSIRT、あふれかえるセキュリティデバイスからどう選ぶ
http://itpro.nikkeibp.co.jp/atcl/column/15/090800214/090800003/?ST=security

キヤノンIT、一元管理ができる企業向けのドライブ暗号化ソフトを販売開始
http://itpro.nikkeibp.co.jp/atcl/news/15/091502992/?ST=security

富士通SSL、Blue Coatのクラウド型Webセキュリティサービスを販売
http://itpro.nikkeibp.co.jp/atcl/news/15/091502985/?ST=security

セキュリティの新しい国家試験「情報セキュリティマネジメント」が来春開始
http://itpro.nikkeibp.co.jp/atcl/news/15/091502983/?ST=security

政府サイバー本部が初の勧告、年金事件受けCSIRT強化などの措置求める
http://itpro.nikkeibp.co.jp/atcl/news/15/091402975/?ST=security

堺市職員が選挙関連データ約68万件を不正持ち出し、自宅PCに保存
http://itpro.nikkeibp.co.jp/atcl/news/15/091502976/?ST=security

2015年9月15日火曜日

15日 火曜日、仏滅

+ UPDATE: OpenSSL Alternative Chains Certificate Forgery Vulnerability (July 2015) Affecting Cisco Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150710-openssl

+ Linux kernel 4.1.7, 3.14.52, 3.10.88 released
https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.1.7
https://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.14.52
https://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.10.88

+ PHP Multiple Bugs Let Remote Users Obtain Potentially Sensitive Information, View Files, and Execute Arbitrary Code
http://www.securitytracker.com/id/1033548
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6834
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6835
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6836
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6837
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6838

+ phpMyAdmin Lets Remote Users Bypass reCaptcha Feature on the Target System
http://www.securitytracker.com/id/1033546
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6830

+ Bugzilla Account Creation Username Truncation Lets Remote Users Gain Elevated Privileges
http://www.securitytracker.com/id/1033542
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4499

+ Linux Kernel AUFS Filesystem Use-After-Free Lets Local Users Gain Elevated Privileges
http://www.securitytracker.com/id/1033535

+ Microsoft Windows arbitrary code execution (and UAC bypass) via RegEdit.exe
https://cxsecurity.com/issue/WLB-2015090074

+ Microsoft Internet Explorer 11 Stack Underflow Crash PoC
https://cxsecurity.com/issue/WLB-2015090073

+ OpenLDAP: ber_get_next denial of service vulnerability
https://cxsecurity.com/issue/WLB-2015090065
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6908

JVNDB-2015-000129 PIXUS MG7530 におけるクロスサイトリクエストフォージェリの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000129.html

JVNDB-2015-000116 Japan Connected-free Wi-Fi におけるスクリプトインジェクションの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000116.html

JVNDB-2015-000115 Japan Connected-free Wi-Fi におけるアクセス制限不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000115.html

やばいぞ日本、セキュリティ最前線からの警告
やばいぞセキュリティオペレーション[2]、演習で主体性を身に付ける
http://itpro.nikkeibp.co.jp/atcl/column/15/090800214/090800002/?ST=security

やばいぞ日本、セキュリティ最前線からの警告
やばいぞセキュリティオペレーション[1]、監視だけでは防げない
http://itpro.nikkeibp.co.jp/atcl/column/15/090800214/090800001/?ST=security

JVNVU#99004652 Securifi Almond ルータ製品に複数の脆弱性
http://jvn.jp/vu/JVNVU99004652/index.html

JVNVU#99671861 UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
http://jvn.jp/vu/JVNVU99671861/index.html

2015年9月11日金曜日

11日 金曜日、大安

+ Gpg4win 2.2.6 released
http://gpg4win.org/change-history.html

+ OpenLDAP Bug in ber_get_next() Lets Remote Users Cause the Target Service to Crash
http://www.securitytracker.com/id/1033534

+ Linux Kernel SCSI Generic Driver Integer Overflow Lets Local Users Obtain Root Privileges
http://www.securitytracker.com/id/1033521
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5707

JVNVU#92722213 Impero Education Pro に複数の脆弱性
http://jvn.jp/vu/JVNVU92722213/

JVNVU#92677348 CENTUM を含む複数の YOKOGAWA 製品の通信機能に複数の脆弱性
http://jvn.jp/vu/JVNVU92677348/

VU#906576 Securifi Almond routers contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/906576

2015年9月10日木曜日

10日 木曜日、仏滅

+ CESA-2015:1741 Important CentOS 6 haproxy Security Update
http://lwn.net/Alerts/656952/

+ CESA-2015:1741 Important CentOS 7 haproxy Security Update
http://lwn.net/Alerts/656953/

+ CESA-2015:1742 Moderate CentOS 7 subversion Security Update
http://lwn.net/Alerts/656954/

+ phpMyAdmin 4.3.13.3 released
https://www.phpmyadmin.net/files/4.3.13.3/

+ UPDATE: Multiple Vulnerabilities in ntpd (April 2015) Affecting Cisco Products
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-ntpd

+ RSA Via Lifecycle and Governance Input Validation Flaws Let Remote Conduct Cross-Site Scripting Attacks
http://www.securitytracker.com/id/1033520
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4539
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4540

+ PHP 5.6 / 5.5 / 5.4 Session Deserialized Use-After-Free
https://cxsecurity.com/issue/WLB-2015090056

+ PHP 5.6 / 5.5 / 5.4 SplDoublyLinkedList Use-After-Free
https://cxsecurity.com/issue/WLB-2015090054

RSAがSOC運営ソフトを強化、社外持ち出しPCやクラウドも監視可能に
http://itpro.nikkeibp.co.jp/atcl/news/15/090902932/?ST=security

UPDATE: JVNVU#92833570 Seagate および LaCie ワイヤレスストレージ製品に複数の脆弱性
http://jvn.jp/vu/JVNVU92833570/

VU#549807 Impero Education classroom management software vulnerable to remote code execution
http://www.kb.cert.org/vuls/id/549807

2015年9月9日水曜日

9日 水曜日、先負

+ 2015 年 9 月のマイクロソフト セキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms15-sep

+ MS15-094 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (3089548)
https://technet.microsoft.com/library/security/ms15-094
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2483
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2484
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2486
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2487
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2489
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2490
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2491
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2492
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2493
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2494
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2498
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2499
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2500
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2501
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2541
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2542

+ MS15-095 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム (3089665)
https://technet.microsoft.com/library/security/ms15-095
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2485
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2486
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2494
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2542

+ MS15-096 - 重要 Active Directory サービスの脆弱性により、サービス拒否が起こる (3072595)
https://technet.microsoft.com/library/security/ms15-096
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2535

+ MS15-097 - 緊急 Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (3089656)
https://technet.microsoft.com/library/security/ms15-097
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2506
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2507
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2508
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2510
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2511
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2512
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2517
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2518
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2527
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2529
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2546

+ MS15-098 - 緊急 Windows Journal の脆弱性により、リモートでコードが実行される (3089669)
https://technet.microsoft.com/library/security/ms15-098
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2513
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2514
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2516
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2519
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2530

+ MS15-099 - 緊急 Microsoft Office の脆弱性により、リモートでコードが実行される (3089664)
https://technet.microsoft.com/library/security/ms15-099
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2520
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2521
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2523
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2545

+ MS15-100 - 重要 Windows Media Center の脆弱性により、リモートでコードが実行される (3087918)
https://technet.microsoft.com/library/security/ms15-100
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2509

+ MS15-101 - 重要 .NET Framework の脆弱性により、特権が昇格される (3089662)
https://technet.microsoft.com/library/security/ms15-101
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2504
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2526

+ MS15-102 - 重要 Windows タスク管理の脆弱性により、特権が昇格される (3089657)
https://technet.microsoft.com/library/security/ms15-102
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2524
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2525
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2528

+ MS15-103 - 重要 Microsoft Exchange Server の脆弱性により、情報漏えいが起こる (3089250)
https://technet.microsoft.com/library/security/ms15-103
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2505
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2543
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2544

+ MS15-104 - 重要 Skype for Business Server および Lync Server の脆弱性により、特権が昇格される (3089952)
https://technet.microsoft.com/library/security/ms15-104
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2531
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2532
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2536

+ MS15-105 - 重要 Windows Hyper-V の脆弱性により、セキュリティ機能のバイパスが起こる (3091287)
https://technet.microsoft.com/library/security/ms15-105
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2534

+ マイクロソフト セキュリティ アドバイザリ 3083992 AppLocker の発行元ルールの施行を改善する更新プログラム
https://technet.microsoft.com/ja-jp/library/security/3083992

+ RHSA-2015:1741 Important: haproxy security update
https://rhn.redhat.com/errata/RHSA-2015-1741.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3281

+ RHSA-2015:1742 Moderate: subversion security update
https://rhn.redhat.com/errata/RHSA-2015-1742.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0248
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0251
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3184
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3187

+ APSB15-22 Security update available for Adobe Shockwave Player
https://helpx.adobe.com/security/products/shockwave/apsb15-22.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6680
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6681

+ CESA-2015:1714 Important CentOS 7 spice Security Update
http://lwn.net/Alerts/656621/

+ CESA-2015:1715 Important CentOS 6 spice-server Security Update
http://lwn.net/Alerts/656622/

+ phpMyAdmin 4.4.14.1, 4.3.13.2 released
https://www.phpmyadmin.net/files/4.4.14.1/
https://www.phpmyadmin.net/files/4.3.13.2/

+ PMASA-2015-4 Vulnerability that allows bypassing the reCaptcha test
https://www.phpmyadmin.net/security/PMASA-2015-4/

+ Samba 4.3.0, 4.2.4 Available for Download
https://www.samba.org/samba/history/samba-4.3.0.html
https://www.samba.org/samba/history/samba-4.2.4.html

+ wget Flaw Lets Remote Users Obtain the Target System's IP Address
http://www.securitytracker.com/id/1033481

News & Trend
参入相次ぐ、中小向けクラウド型マイナンバー収集サービス
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/090700336/?ST=security

堺市職員がレンタルサーバーで個人情報1000人分“公開”、開発スキルが裏目に
http://itpro.nikkeibp.co.jp/atcl/news/15/090802915/?ST=security

リコー、サーバーを守るホスト型セキュリティソフトを運用付きで提供
http://itpro.nikkeibp.co.jp/atcl/news/15/090802914/?ST=security

UPDATE: JVNVU#99671861 UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
http://jvn.jp/vu/JVNVU99671861/

2015年9月8日火曜日

8日 火曜日、友引

+ unzip 6.0 Heap overflow and DoS
https://cxsecurity.com/issue/WLB-2015090042

+ PHP 5.4.44 Use after free vulnerability in session deserializer
https://cxsecurity.com/issue/WLB-2015090041

+ PHP 5.4.43 Use After Free Vulnerability in unserialize()
https://cxsecurity.com/issue/WLB-2015090040

JVNDB-2015-000127 ActiveX コントロール ELPhoneBtnV6 におけるバッファオーバーフローの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000127.html

News & Trend
個人番号カード普及に妙手?総務省がカードケースを配布へ

UPDATE: JVN#95989300 Apache Struts におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN95989300/index.html

UPDATE: JVN#88408929 Apache Struts におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN88408929/index.html

JVNVU#99671861 UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
http://jvn.jp/vu/JVNVU99671861/index.html

UPDATE: JVNVU#91383623 ISC BIND 9 に複数の脆弱性
http://jvn.jp/vu/JVNVU91383623/index.html

UPDATE: JVNVU#99160787 OpenSSL に証明書チェーンの検証不備の脆弱性
http://jvn.jp/vu/JVNVU99160787/index.html

UPDATE: JVNVU#93531657 ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU93531657/index.html

UPDATE: JVNVU#91445763 OpenSSL に複数の脆弱性
http://jvn.jp/vu/JVNVU91445763/index.html

2015年9月7日月曜日

7日 月曜日、先勝

+ RHSA-2015:1623 Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2015-1623.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5364
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5366

+ TortoiseSVN 1.9.1 released
http://tortoisesvn.net/tsvn_1.9_releasenotes.html
http://tortoisesvn.net/Changelog.txt

+ UPDATE: Oracle Solaris Third Party Bulletin - July 2015
http://www.oracle.com/technetwork/topics/security/bulletinjul2015-2511963.html

+ PHP 5.6.13, 5.5.29, 5.4.45 Released
http://www.php.net/ChangeLog-5.php#5.6.13
http://www.php.net/ChangeLog-5.php#5.5.29
http://www.php.net/ChangeLog-5.php#5.4.45

+ JVNVU#91383623 ISC BIND 9 に複数の脆弱性
http://jvn.jp/vu/JVNVU91383623/

+ Google Chrome Multiple Bugs Let Remote Users Execute Arbitrary Code, Bypass Security Restrictions, Obtain Potentially Sensitive Information, and Spoof Content
http://www.securitytracker.com/id/1033472
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1291
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1292
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1293
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1294
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1295
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1296
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1298
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1299
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1300
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1301
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6580
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6581
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6582
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6583

+ Glibc Pointer guarding weakness
https://cxsecurity.com/issue/WLB-2015090036

+ Windows Multiple - Registry Only Persistence
https://cxsecurity.com/issue/WLB-2015090030

JVNDB-2015-000128 OpenDocMan におけるクロスサイトスクリプティングの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000128.html

JVNDB-2015-000125 Apache Struts におけるクロスサイトスクリプティングの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000125.html

JVNDB-2015-000124 Apache Struts におけるクロスサイトスクリプティングの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000124.html

チェックしておきたい脆弱性情報<2015.09.07>
http://itpro.nikkeibp.co.jp/atcl/column/14/268561/090200076/?ST=security

NEC、顔検出/顔照合エンジン「NeoFace」の認証精度を向上
http://itpro.nikkeibp.co.jp/atcl/news/15/090402881/?ST=security


2015年9月4日金曜日

4日 金曜日、仏滅

+ RHSA-2015:1707 Important: bind97 security update
https://rhn.redhat.com/errata/RHSA-2015-1707.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5722

+ RHSA-2015:1706 Important: bind security update
https://rhn.redhat.com/errata/RHSA-2015-1706.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5722

+ RHSA-2015:1715 Important: spice-server security update
https://rhn.redhat.com/errata/RHSA-2015-1715.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3247

+ RHSA-2015:1708 Important: libXfont security update
https://rhn.redhat.com/errata/RHSA-2015-1708.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1802
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1803
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1804

+ RHSA-2015:1705 Important: bind security update
https://rhn.redhat.com/errata/RHSA-2015-1705.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5722

+ RHSA-2015:1714 Important: spice security update
https://rhn.redhat.com/errata/RHSA-2015-1714.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3247

+ Red Hat Enterprise Linux 7.2 Beta released
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html/7.2_Release_Notes/index.html

+ CESA-2015:1705 Important CentOS 6 bind Security Update
http://lwn.net/Alerts/656508/

+ CESA-2015:1706 Important CentOS 5 bind Security Update
http://lwn.net/Alerts/656509/

+ CESA-2015:1705 Important CentOS 7 bind Security Update
http://lwn.net/Alerts/656510/

+ CESA-2015:1708 Important CentOS 6 libXfont Security Update
http://lwn.net/Alerts/656512/

+ CESA-2015:1707 Important CentOS 5 bind97 Security Update
http://lwn.net/Alerts/656511/

+ CESA-2015:1708 Important CentOS 7 libXfont Security Update
http://lwn.net/Alerts/656513/

+ squid 3.5.8 released
http://www.squid-cache.org/Versions/v3/3.5/squid-3.5.8-RELEASENOTES.html

+ BIND 9.10.2-P4, 9.9.7-P3 released
ftp://ftp.isc.org/isc/bind9/9.10.2-P4/RELEASE-NOTES.bind-9.10.2-P4.html
ftp://ftp.isc.org/isc/bind9/9.9.7-P3/RELEASE-NOTES.bind-9.9.7-P3.html

+ OpenSSH 6.8-6.9 pty issue can lead to local privesc on Linux
http://cxsecurity.com/issue/WLB-2015090025
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6565

JVNDB-2015-000301 BBS X102 におけるクロスサイトスクリプティングの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000301.html

JVNDB-2015-000302 hitSuji (rktSNS2) におけるクロスサイトスクリプティングの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000302.html

UPDATE: JVNVU#99671861 UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
http://jvn.jp/vu/JVNVU99671861/

JVNVU#92833570 Seagate wireless hard-drive 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU92833570/

JVNVU#92141772 Android Stagefright に複数の脆弱性
http://jvn.jp/vu/JVNVU92141772/

JVNVU#91383623 ISC BIND 9 に複数の脆弱性
http://jvn.jp/vu/JVNVU91383623/

VU#630872 Mediabridge Medialink Wireless-N Broadband Router MWN-WAPR300N contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/630872

VU#845332 OrientDB and Studio prior to version 2.1.1 contain multiple vulnerabilities
http://www.kb.cert.org/vuls/id/845332

2015年9月3日木曜日

3日 木曜日、先負

+ CESA-2015:1694 Moderate CentOS 7 gdk-pixbuf2 Security Update
http://lwn.net/Alerts/656387/

+ CESA-2015:1695 Important CentOS 7 jakarta-taglibs-standard Security Update
http://lwn.net/Alerts/656389/

+ CESA-2015:1695 Important CentOS 6 jakarta-taglibs-standard Security Update
http://lwn.net/Alerts/656388/

+ CESA-2015:1699 Moderate CentOS 7 nss-softokn Security Update
http://lwn.net/Alerts/656391/

+ CESA-2015:1699 Moderate CentOS 6 nss-softokn Security Update
http://lwn.net/Alerts/656390/

+ CESA-2015:1700 Important CentOS 7 pcs Security Update
http://lwn.net/Alerts/656393/

+ CESA-2015:1700 Important CentOS 6 pcs Security Update
http://lwn.net/Alerts/656392/

+ CESA-2015:1694 Moderate CentOS 6 gdk-pixbuf2 Security Update
http://lwn.net/Alerts/656386/

+ Cisco Integrated Management Controller Supervisor and Cisco UCS Director Remote File Overwrite Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150902-cimcs
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6259

+ Linux kernel 4.2, 3.18.21 released
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/log/?id=refs/tags/v4.2
https://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.18.21

+ SYM15-008 Security Advisories Relating to Symantec Products - Symantec Ghost Explorer Utility Tool Out-of-Bounds Array Indexing
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20150902_00
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5689

+ FreeBSD-SA-15:23.bind BIND remote denial of service vulnerability
https://www.freebsd.org/security/advisories/FreeBSD-SA-15:23.bind.asc
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5722

+ BIND OpenPGP Key Processing Flaw Lets Remote Users Cause the Target DNS Service to Terminate
http://www.securitytracker.com/id/1033453
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5986

+ BIND DNSSEC Key Parsing Error Lets Remote Users Cause the Target Service to Crash
http://www.securitytracker.com/id/1033452
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5722

+ gnutls 3.3.13 double-free in parsing CRL distribution points
http://cxsecurity.com/issue/WLB-2015040086
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3308

JVNDB-2015-000123 NScripter におけるバッファオーバーフローの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000123.html

[第4回]ベネッセを襲った個人情報漏洩事件(平成24年秋 午後Ⅰ問2)
http://itpro.nikkeibp.co.jp/atcl/column/15/082000196/082000004/?ST=security

記者の眼
敵に手の内をさらして大丈夫? NISCの年金機構事件報告書を読み解く
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/090100360/?ST=security

チェックしておきたい脆弱性情報<2015.09.03>
http://itpro.nikkeibp.co.jp/atcl/column/14/268561/090200075/?ST=security

「ShellShock」攻撃は2015年6月までに急減、アカマイのサイバー攻撃リポート
http://itpro.nikkeibp.co.jp/atcl/news/15/090202849/?ST=security

UPDATE: JVN#08494613 NScripter におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN08494613/

JVNVU#99671861 UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
http://jvn.jp/vu/JVNVU99671861/

JVNVU#92833570 Seagate 36C wireless hard-drive に複数の脆弱性
http://jvn.jp/vu/JVNVU92833570/

2015年9月2日水曜日

Microsoft Windows Server 2016 Technical Preview 3 で INACCESSIBLE_BOOT_DEVICE

Microsoft Windows Server 2016 Technical Preview 3 をインストールして、Docker 関係の機能を確認していたところ、再起動すると、INACCESSIBLE_BOOT_DEVICE になってしまった。

Docker 関係は、次の URL を参考に実施していた。

https://msdn.microsoft.com/virtualization/windowscontainers/containers_welcome

"Quick Start: Windows Server Containers and PowerShell" はうまくいったのだが、
"Quick Start: Windows Server Containers and Docker" の run でエラーとなったので、再起動したらこんな画面となった。


しばらくすると、自動修復が動き出した。

そして、何やらオプション選択画面となった。

"Troubleshoot" を選択してみる。

"Startup Setttings" を選択してみる。

再起動のオプションメニューが表示されたので、まずは、"Safe Mode" を選択してみた。

状況変わらず、次に "Enalbe Boot Logging" を選択してみた。

やはり、状況かわらず、

結局、解決にいたらず、再インストールすることとした。

仮想環境で良かった (^^;


2日 火曜日、友引











+ RHSA-2015:1699 Moderate: nss-softokn security update
https://rhn.redhat.com/errata/RHSA-2015-1699.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2730

+ Google Chrome 45.0.2454.85 released
http://googlechromereleases.blogspot.jp/2015/09/stable-channel-update.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1291
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1292
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1293
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1294
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1295
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1296
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1298
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1299
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1300

+ Samba 4.1.20 Available for Download
https://www.samba.org/samba/history/samba-4.1.20.html

+ Opera 31.0.1889.174 XSS Filter Bypass
http://cxsecurity.com/issue/WLB-2015090008

+ Microsoft Office 2007 msxml5.dll Crash Proof Of Concept
http://cxsecurity.com/issue/WLB-2015090004

JVNDB-2015-000120 iOS 版アプリ「楽天カード」における SSL サーバ証明書の検証不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000120.html

JVNDB-2015-000122 desknet's NEO におけるディレクトリトラバーサルの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000122.html

JVNDB-2015-000121 Twit掲示板におけるクロスサイトスクリプティングの脆弱性
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-000121.html

【セスペ試験で学ぶセキュリティ事件簿】
[第3回]Webサイトを次々と改ざん、Gumblar攻撃(平成22年秋 午後Ⅰ問4)
http://itpro.nikkeibp.co.jp/atcl/column/15/082000196/082000003/?ST=security

記者の眼
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/082400355/?ST=security

VU#903500 Seagate 36C wireless hard-drive contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/903500

2015年9月1日火曜日

1日 火曜日、先勝









+ RHSA-2015:1695 Important: jakarta-taglibs-standard security update
https://rhn.redhat.com/errata/RHSA-2015-1695.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0254

+ RHSA-2015:1694 Moderate: gdk-pixbuf2 security update
https://rhn.redhat.com/errata/RHSA-2015-1694.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4491

【セスペ試験で学ぶセキュリティ事件簿】
[第2回]三菱重工業を狙った標的型攻撃(平成24年秋 午後Ⅰ問3)
http://itpro.nikkeibp.co.jp/atcl/column/15/082000196/082000002/?ST=security

JR北海道で業務用PC7台がウイルス感染、標的型メール「Emdivi」開封で
http://itpro.nikkeibp.co.jp/atcl/news/15/083102805/?ST=security

日立ソリューションズ、GSXと協業してサイバー攻撃対策のコンサルを強化
http://itpro.nikkeibp.co.jp/atcl/news/15/083102804/?ST=security

VU#201168 Belkin N600 DB Wireless Dual Band N+ router contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/201168

VU#361684 Router devices do not implement sufficient UPnP authentication and security
http://www.kb.cert.org/vuls/id/361684

VU#525276 Philippine Long Distance Telephone SpeedSurf 504AN and Kasda KW58293 contain multiple vulnerabilities
http://www.kb.cert.org/vuls/id/525276