2020年8月31日月曜日

31日 月曜日、先勝

+ RHSA-2020:3556 Important: firefox security update
https://access.redhat.com/errata/RHSA-2020:3556
CVE-2020-15664
CVE-2020-15669

+ RHSA-2020:3557 Important: firefox security update
https://access.redhat.com/errata/RHSA-2020:3557
CVE-2020-12422
CVE-2020-12424
CVE-2020-12425
CVE-2020-15648
CVE-2020-15653
CVE-2020-15654
CVE-2020-15656
CVE-2020-15658
CVE-2020-15664
CVE-2020-15669

+ Moziila Thunderbird 78.2.1 released
https://www.thunderbird.net/en-US/thunderbird/78.2.1/releasenotes/

+ Linux kernel 5.8.5, 5.7.19 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.8.5
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.19

+ OpenLDAP 2.4.52 released
https://www.openldap.org/software/release/changes.html

+ Postfix 3.5.7, 3.4.17 released
http://mirror.postfix.jp/postfix-release/official/postfix-3.5.7.HISTORY
http://mirror.postfix.jp/postfix-release/official/postfix-3.4.17.HISTORY

+ GnuPG 2.2.22 released
https://lists.gnupg.org/pipermail/gnupg-announce/2020q3/000447.html

+ Squidの脆弱性情報(CVE-2020-15810, CVE-2020-15811, CVE-2020-24606)と新バージョン(4.13/5.0.4)
https://security.sios.com/vulnerability/squid-security-vulnerability-20200828.html
CVE-2020-15810
CVE-2020-15811
CVE-2020-24606

NEWS pickup&digest(2020/7/17~8/6)
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/082000034/?ST=nxt_thmit_security

誰もが狙われるネット広告不正 推定被害額は年数百億円以上
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/082700031/?ST=nxt_thmit_security

「顧客満足度調査」ソフト関連10部門ランキング、Zoomがいきなりトップに
https://xtech.nikkei.com/atcl/nxt/column/18/01407/082500004/?ST=nxt_thmit_security

情報漏洩被害額は1件4億5000万円、対策の要「CSIRT」に今必要な4つの施策
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04518/?ST=nxt_thmit_security

流出データ10億件で分かったパスワードの現状
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/081900032/?ST=nxt_thmit_security

セクストーションの新手口が出現
出会い系サイトでターゲットを物色 聞き出した個人情報で脅迫する
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/082000114/?ST=nxt_thmit_security

CSVファイルを読み込めば複雑な設定なしで製造装置を遠隔監視
https://xtech.nikkei.com/atcl/nxt/news/18/08607/?ST=nxt_thmit_security

VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04507/?ST=nxt_thmit_security

JVNVU#90721897 Red Lion 製 N-Tron 702-W および 702M12-W に複数の脆弱性
http://jvn.jp/vu/JVNVU90721897/index.html

JVN#29903998 複数の NETGEAR 製スイッチングハブにクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN29903998/index.html

JVNVU#96290700 OpenClinic GA に複数の脆弱性
http://jvn.jp/vu/JVNVU96290700/index.html

JVN#40725650 XOOPS 用モジュール XooNIps における複数の脆弱性
http://jvn.jp/jp/JVN40725650/index.html

2020年8月27日木曜日

27日 木曜日、先負

+ RHSA-2020:3560 Important: chromium-browser security update
https://access.redhat.com/errata/RHSA-2020:3560
CVE-2020-6542
CVE-2020-6543
CVE-2020-6544
CVE-2020-6545
CVE-2020-6546
CVE-2020-6547
CVE-2020-6548
CVE-2020-6549
CVE-2020-6550
CVE-2020-6551
CVE-2020-6552
CVE-2020-6553
CVE-2020-6554
CVE-2020-6555
CVE-2020-6556

+ Mozilla Foundation Security Advisory 2020-41 Security Vulnerabilities fixed in Thunderbird 78.2
https://www.mozilla.org/en-US/security/advisories/mfsa2020-41/
CVE-2020-15663
CVE-2020-15664
CVE-2020-15670

+ Mozilla Foundation Security Advisory 2020-40 Security Vulnerabilities fixed in Thunderbird 68.12
https://www.mozilla.org/en-US/security/advisories/mfsa2020-40/
CVE-2020-15663
CVE-2020-15664
CVE-2020-15669

+ Linux kernel 5.8.4, 5.8.18, 5.4.61, 4.19.142, 4.14.195, 4.9.234, 4.4.234 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.8.4
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.18
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.61
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.142
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.195
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.234
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.234

JVN#77402327 スマートフォンアプリ「ニトリアプリ」におけるアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN77402327/index.html

JVNVU#93037867 Advantech 製 iView にパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU93037867/index.html

JVNVU#96730728 Emerson 製 OpenEnterprise に不十分な暗号強度の脆弱性
http://jvn.jp/vu/JVNVU96730728/index.html

JVNVU#97347936 WECON 製 LeviStudioU にスタックベースのバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU97347936/index.html

ファイアウオール
不審な通信を遮断する機器や機能
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900032/082000024/?ST=nxt_thmit_security

Windows Serverに危険な脆弱性
米国土安全保障省が「緊急指令」 悪用するワームが出現の恐れ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/082000115/?ST=nxt_thmit_security

暗号通貨業界狙うサイバー攻撃をエフセキュアが解説、北朝鮮系が関与
https://xtech.nikkei.com/atcl/nxt/news/18/08615/?ST=nxt_thmit_security
+ RHSA-2020:3560 Important: chromium-browser security update
https://access.redhat.com/errata/RHSA-2020:3560
CVE-2020-6542
CVE-2020-6543
CVE-2020-6544
CVE-2020-6545
CVE-2020-6546
CVE-2020-6547
CVE-2020-6548
CVE-2020-6549
CVE-2020-6550
CVE-2020-6551
CVE-2020-6552
CVE-2020-6553
CVE-2020-6554
CVE-2020-6555
CVE-2020-6556

+ Mozilla Foundation Security Advisory 2020-41 Security Vulnerabilities fixed in Thunderbird 78.2
https://www.mozilla.org/en-US/security/advisories/mfsa2020-41/
CVE-2020-15663
CVE-2020-15664
CVE-2020-15670

+ Mozilla Foundation Security Advisory 2020-40 Security Vulnerabilities fixed in Thunderbird 68.12
https://www.mozilla.org/en-US/security/advisories/mfsa2020-40/
CVE-2020-15663
CVE-2020-15664
CVE-2020-15669

+ Linux kernel 5.8.4, 5.8.18, 5.4.61, 4.19.142, 4.14.195, 4.9.234, 4.4.234 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.8.4
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.18
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.61
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.142
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.195
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.234
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.234

JVN#77402327 スマートフォンアプリ「ニトリアプリ」におけるアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN77402327/index.html

JVNVU#93037867 Advantech 製 iView にパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU93037867/index.html

JVNVU#96730728 Emerson 製 OpenEnterprise に不十分な暗号強度の脆弱性
http://jvn.jp/vu/JVNVU96730728/index.html

JVNVU#97347936 WECON 製 LeviStudioU にスタックベースのバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU97347936/index.html

ファイアウオール
不審な通信を遮断する機器や機能
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900032/082000024/?ST=nxt_thmit_security

Windows Serverに危険な脆弱性
米国土安全保障省が「緊急指令」 悪用するワームが出現の恐れ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/082000115/?ST=nxt_thmit_security

暗号通貨業界狙うサイバー攻撃をエフセキュアが解説、北朝鮮系が関与
https://xtech.nikkei.com/atcl/nxt/news/18/08615/?ST=nxt_thmit_security

2020年8月26日水曜日

26日 水曜日、友引

+ Mozilla Foundation Security Advisory 2020-36 Security Vulnerabilities fixed in Firefox 80
https://www.mozilla.org/en-US/security/advisories/mfsa2020-36/
CVE-2020-15663
CVE-2020-15664
CVE-2020-12401
CVE-2020-6829
CVE-2020-12400
CVE-2020-15665
CVE-2020-15666
CVE-2020-15667
CVE-2020-15668
CVE-2020-15670

+ Mozilla Firefox 80.0 released
https://www.mozilla.org/en-US/firefox/80.0/releasenotes/

+ Samba 4.11.12 Available for Download
https://www.samba.org/samba/history/samba-4.11.12.html

+ JVNDB-2020-000055 Apache Struts 2 にサービス運用妨害 (DoS) の脆弱性
https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000055.html
CVE-2019-0233

+ JVNVU#98542645 InterScan Web Security シリーズ製品に複数の脆弱性
http://jvn.jp/vu/JVNVU98542645/index.html
CVE-2020-8603
CVE-2020-8604
CVE-2020-8605
CVE-2020-8606

+ JVN#50890770 Apache Struts 2 にサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN50890770/index.html
CVE-2019-0233

パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる
https://xtech.nikkei.com/atcl/nxt/news/18/08605/?ST=nxt_thmit_security

慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ
https://xtech.nikkei.com/atcl/nxt/column/18/00676/081900056/?ST=nxt_thmit_security

EDRに頼れる相棒あり、ユーザーの通信はあの技術で守るべし
https://xtech.nikkei.com/atcl/nxt/column/18/01367/082000007/?ST=nxt_thmit_security

2020年8月25日火曜日

25日 火曜日、先勝

+ Zabbix 5.0.3, 4.0.24 released
https://www.zabbix.com/rn/rn5.0.3
https://www.zabbix.com/rn/rn4.0.24

+ UPDATE: JVNVU#92184689 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU92184689/index.html

JVNVU#92773731 Diebold Nixdorf ProCash 2100xe USB ATM における暗号化の欠如に関する脆弱性
http://jvn.jp/vu/JVNVU92773731/index.html

JVNVU#99081767 NCR SelfServ ATM BNA における複数の脆弱性
http://jvn.jp/vu/JVNVU99081767/index.html

JVNVU#93330893 NCR SelfServ ATM における複数の脆弱性
http://jvn.jp/vu/JVNVU93330893/index.html

データベースの改ざん被害 猫の鳴き声で上書きする
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/081900018/?ST=nxt_thmit_security

EDR導入に立ちはだかる運用の壁、効果を引き出す使いこなしのコツ
https://xtech.nikkei.com/atcl/nxt/column/18/01367/082000006/?ST=nxt_thmit_security

プロバイダーを装ったスマホプレゼントの「偽通知」、攻撃者の狙いはあの情報
https://xtech.nikkei.com/atcl/nxt/column/18/00598/032700074/?ST=nxt_thmit_security

国内事例に学ぶゼロトラスト導入、第一歩となるアクセス制御の工夫とは
https://xtech.nikkei.com/atcl/nxt/column/18/01391/080400004/?ST=nxt_thmit_security

2020年8月24日月曜日

24日 月曜日、赤口

+ BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2020-8624) - バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-updatepolicy.html
CVE-2020-8624

+ BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8623)- ビルド時に「--enable-native-pkcs11」を指定した場合にのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-pkcs11.html
CVE-2020-8623

+ BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8622)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-tsig.html
CVE-2020-8622

+ BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8621)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-forwarding.html
CVE-2020-8621

+ BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8620)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2020-08-21-bind9-vuln-libuv.html
CVE-2020-8620

+ squid 4.13 released
http://www.squid-cache.org/Versions/v4/squid-4.13-RELEASENOTES.html

+ ISC BIND 9.16.6, 9.11.22 released
https://downloads.isc.org/isc/bind9/9.16.6/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.11.22/RELEASE-NOTES-bind-9.11.22.html

+ Liunx kernel 5.8.3, 5.7.17, 5.4.60, 4.19.141, 4.14.194, 4.9.233, 4.4.233 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.8.3
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.17
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.60
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.141
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.194
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.233
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.233

+ hitachi-sec-2020-125 Multiple Vulnerabilities in Hitachi Ops Center Common Services
http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2020-125/index.html
CVE-2019-14843
CVE-2019-14887
CVE-2019-20444
CVE-2019-20445
CVE-2020-1728
CVE-2020-1954
CVE-2020-14060
CVE-2020-14061
CVE-2020-14062
CVE-2020-14195

+ hitachi-sec-2020-125 Hitachi Ops Center Common Servicesにおける複数の脆弱性
http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2020-125/index.html
CVE-2019-14843
CVE-2019-14887
CVE-2019-20444
CVE-2019-20445
CVE-2020-1728
CVE-2020-1954
CVE-2020-14060
CVE-2020-14061
CVE-2020-14062
CVE-2020-14195

+ Apache PDFBox 2.0.21 released
https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12348324

+ PostgreSQL JDBC Driver 42.2.15 Released
https://jdbc.postgresql.org/documentation/changelog.html#version_42.2.15

+ PostgreSQL JDBC Driver 42.2.16 Released
https://jdbc.postgresql.org/documentation/changelog.html#version_42.2.16

+ JVNVU#98069467 ISC BIND 9 に複数の脆弱性
http://jvn.jp/vu/JVNVU98069467/index.html

+ BIND 9の複数の脆弱性情報(Medium: CVE-2020-8620, CVE-2020-8621, CVE-2020-8622, CVE-2020-8623, Low: CVE-2020-8624)と新バージョン(9.11.22, 9.16.6, 9.17.4 )
https://security.sios.com/vulnerability/bind-security-vulnerability-20200821.html
CVE-2020-8620
CVE-2020-8621
CVE-2020-8622
CVE-2020-8623
CVE-2020-8624

VU#221785: Diebold Nixdorf ProCash 2100xe USB ATM does not adequately secure communications between CCDM and host
https://www.kb.cert.org/vuls/id/221785

VU#815655: NCR SelfServ ATM BNA contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/815655

VU#116713: NCR SelfServ ATM dispenser software contains multiple vulnerabilities
https://www.kb.cert.org/vuls/id/116713

JVNTA#98870234 産業用ロボット制御用のソフトウェアシステムにおける問題
http://jvn.jp/ta/JVNTA98870234/index.html

JVNVU#96372881 Philips 製 SureSigns VS4 における複数の脆弱性
http://jvn.jp/vu/JVNVU96372881/index.html

JVN#88315581 Exment における複数のクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN88315581/index.html

JVNTA#95473801 トレーラーとトラクターヘッド間の電力線通信ネットワークにおける情報漏えいの脆弱性
http://jvn.jp/ta/JVNTA95473801/index.html

ファームウエア攻撃への保護策、FPGAのLatticeが一気通貫で提供
https://xtech.nikkei.com/atcl/nxt/news/18/08585/?ST=nxt_thmit_security

13部門で首位が入れ替わる、「顧客満足度調査2020-2021」結果発表
https://xtech.nikkei.com/atcl/nxt/news/18/08293/?ST=nxt_thmit_security

グーグル流ゼロトラスト「BeyondCorp」を読み解く
https://xtech.nikkei.com/atcl/nxt/column/18/01391/080400003/?ST=nxt_thmit_security

高度化するマルウエアの攻撃手法、EDRはその手口をどう見抜く
https://xtech.nikkei.com/atcl/nxt/column/18/01367/082000005/?ST=nxt_thmit_security

NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた
https://xtech.nikkei.com/atcl/nxt/column/18/01157/081900017/?ST=nxt_thmit_security

情報収集とアクセス制御が要、ゼロトラストが満たすべき原則
https://xtech.nikkei.com/atcl/nxt/column/18/01391/080400002/?ST=nxt_thmit_security

2020年8月20日木曜日

20日 木曜日、友引

+ libcurl: wrong connect-only connection
https://curl.haxx.se/docs/CVE-2020-8231.html
CVE-2020-8231

+ curl 7.72.0 released
https://curl.haxx.se/changes.html#7_72_0

+ Linux kernel 5.8.2, 5.7.16, 5.4.59, 4.19.140 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.8.2
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.16
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.59
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.140

数字の表示が毎回変わるテンキーロック
マジカルテンキーユニット「TKU-003シリーズ」  美和ロック
https://xtech.nikkei.com/atcl/nxt/column/18/00120/00329/?ST=nxt_thmit_security

ゼロトラストで変わる企業ネットの常識、鍵はクラウドの「関所」と「通行手形」
https://xtech.nikkei.com/atcl/nxt/column/18/01391/080400001/?ST=nxt_thmit_security

2020年8月19日水曜日

19日 水曜日、先勝

+ RHSA-2020:3505 Moderate: Red Hat Ceph Storage 3.3 Security update
https://access.redhat.com/errata/RHSA-2020:3505
CVE-2020-10753

+ RHSA-2020:3504 Moderate: Red Hat Ceph Storage 3.3 security and bug fix update
https://access.redhat.com/errata/RHSA-2020:3504
CVE-2020-10753

+ Google Chrome 84.0.4147.135 released
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop_18.html

+ ClamAV 0.103.0 release candidate
https://blog.clamav.net/2020/08/clamav-01030-release-candidate.html

+ PostgreSQLの脆弱性情報(CVE-2020-14349, CVE-2020-14350)と新バージョン(12.4, 11.9, 10.14, 9.6.19, 9.5.23, 13 Beta 3)
https://security.sios.com/vulnerability/postgresql-security-vulnerability-20200819.html
CVE-2020-14349
CVE-2020-14350

管理ソフトが同じパスワード生成? 10億件流出で見えた危険な現状
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/080500036/?ST=nxt_thmit_security

リモート・デスクトップ・サービス(Remote Desktop Service)
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/072700137/?ST=nxt_thmit_security

急増する「コロナ便乗」サイバー攻撃、新しいPowerShellマルウエアは7倍に
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04465/?ST=nxt_thmit_security

2020年8月18日火曜日

18日 火曜日、仏滅

EDRの頼れる相棒 場所問わず端末守る
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/080600188/080600003/?ST=nxt_thmit_security

EDRの仕組みを解剖 攻撃見つける2手法
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/080600188/080600002/?ST=nxt_thmit_security

もう攻撃は防げない 竹中工務店の大転換
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/080600188/080600001/?ST=nxt_thmit_security

延べ900社の顧客情報流出か 多要素認証を無効化される
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/080700061/?ST=nxt_thmit_security

Bリーグのファンクラブ申し込みで障害、原因は五輪チケットでも採用の「行列」機能
https://xtech.nikkei.com/atcl/nxt/column/18/00598/032700075/?ST=nxt_thmit_security

2020年8月17日月曜日

17日 月曜日、先負

+ Windows DNSキャッシュリゾルバーサービスの脆弱性情報が公開されました(CVE-2020-1584)
https://jprs.jp/tech/security/2020-08-14-windowsdnsrslvr.html
CVE-2020-1584

+ Wireshark 3.2.6, 3.0.13, 2.6.19 released
https://www.wireshark.org/docs/relnotes/wireshark-3.2.6.html
https://www.wireshark.org/docs/relnotes/wireshark-3.0.13.html
https://www.wireshark.org/docs/relnotes/wireshark-2.6.19.html

+ PostgreSQL 12.4, 11.9, 10.14, 9.6.19, 9.5.23 released
https://www.postgresql.org/docs/12/release-12-4.html
https://www.postgresql.org/docs/11/release-11-9.html
https://www.postgresql.org/docs/10/release-10-14.html
https://www.postgresql.org/docs/9.6/release-9-6-19.html
CVE-2020-14349
CVE-2020-14350

https://www.postgresql.org/docs/9.5/release-9-5-23.html

+ Samba 4.12.6 Available for Download
https://www.samba.org/samba/history/samba-4.12.6.html

+ 13 August 2020 - Security Advice: Announcing CVE-2019-0230 (Possible RCE) and CVE-2019-0233 (DoS) security issues
https://struts.apache.org/announce.html#a20200813
CVE-2019-0230
CVE-2019-0233

+ S2-059 Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution.
https://cwiki.apache.org/confluence/display/WW/S2-059
CVE-2019-0230

+ S2-060 Access permission override causing a Denial of Service when performing a file upload
https://cwiki.apache.org/confluence/display/WW/S2-060
CVE-2019-0233

+ Struts 2の脆弱性情報(Important: CVE-2019-0230, Moderate: CVE-2019-0233)
https://security.sios.com/vulnerability/struts-security-vulnerability-20200814.html
CVE-2019-0230, CVE-2019-0233

+ Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200034.html
CVE-2019-0230, CVE-2019-0233

不正アクセスで漏洩なら要通知 個人情報管理、法改正で負担増
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/080700030/?ST=nxt_thmit_security

10年前から変わらぬ出会い系詐欺の手口、「3億円あげる」にだまされる訳とは
https://xtech.nikkei.com/atcl/nxt/column/18/00676/080400055/?ST=nxt_thmit_security

他社への不正アクセスが原因でメールを盗聴される、巧妙な手口の全容
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04398/?ST=nxt_thmit_security

2020年8月13日木曜日

13日 木曜日、大安

+ Dovecot v2.3.11.3 released
https://dovecot.org/pipermail/dovecot-news/2020-August/000440.html

+ OpenLDAP 2.4.51 released
https://www.openldap.org/software/release/changes.html

JVNVU#96514651 Siemens 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU96514651/index.html

JVNVU#99362875 Tridium 製 Niagara に遠隔接続端末がタイムアウトしない脆弱性
http://jvn.jp/vu/JVNVU99362875/index.html

JVNVU#90099158 Schneider Electric 製 APC Easy UPS On-Line Software にパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU90099158/index.html

UPDATE: JVNVU#97997181 横河電機製 CAMS for HIS に複数の脆弱性
http://jvn.jp/vu/JVNVU97997181/index.html

2020年8月12日水曜日

12日 水曜日、仏滅

+ nginx 1.19.2 released
http://nginx.org/en/CHANGES

+ Security Updates Available for Adobe Lightroom | APSB20-51
https://helpx.adobe.com/security/products/lightroom/apsb20-51.html
CVE-2020-9724

+ Security Updates Available for Adobe Acrobat and Reader | APSB20-48
https://helpx.adobe.com/security/products/acrobat/apsb20-48.html
CVE-2020-9697
CVE-2020-9714
CVE-2020-9693
CVE-2020-9694
CVE-2020-9696
CVE-2020-9712
CVE-2020-9702
CVE-2020-9703
CVE-2020-9723
CVE-2020-9705
CVE-2020-9706
CVE-2020-9707
CVE-2020-9710
CVE-2020-9716
CVE-2020-9717
CVE-2020-9718
CVE-2020-9719
CVE-2020-9720
CVE-2020-9721
CVE-2020-9698
CVE-2020-9699
CVE-2020-9700
CVE-2020-9701
CVE-2020-9704
CVE-2020-9715
CVE-2020-9722

+ Linux kernel 5.8.1, 5.7.15, 5.4.58, 4.19.139 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.8.1
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.15
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.58
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.139

+ 2020 年 8 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Aug
CVE-2020-1046
CVE-2020-1383
CVE-2020-1459
CVE-2020-1472
CVE-2020-1474
CVE-2020-1483
CVE-2020-1487
CVE-2020-1493
CVE-2020-1494
CVE-2020-1495
CVE-2020-1496
CVE-2020-1497
CVE-2020-1498
CVE-2020-1502
CVE-2020-1503
CVE-2020-1504
CVE-2020-1505
CVE-2020-1510
CVE-2020-1512
CVE-2020-1530
CVE-2020-1537
CVE-2020-1548
CVE-2020-1560
CVE-2020-1563
CVE-2020-1571
CVE-2020-1574
CVE-2020-1577
CVE-2020-1578
CVE-2020-1581
CVE-2020-1583
CVE-2020-1585

+ PHP 7.3.21, 7.2.33 released
https://www.php.net/ChangeLog-7.php#7.3.21
https://www.php.net/ChangeLog-7.php#7.2.33

+ UPDATE: JVNVU#94105662 トレンドマイクロ株式会社製のウイルスバスター クラウドのドライバに境界外読み込みの脆弱性
http://jvn.jp/vu/JVNVU94105662/index.html

+ JVNVU#95491800 複数の Apple 製品における脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU95491800/index.html

JVN#46258789 CyberMail における複数の脆弱性
http://jvn.jp/jp/JVN46258789/index.html

2020年8月11日火曜日

11日 火曜日、先負

+ MantisBT 2.24.2 Released
https://mantisbt.org/blog/archives/mantisbt/665

+ RHSA-2020:3344 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2020:3344
CVE-2020-6463
CVE-2020-6514
CVE-2020-15652
CVE-2020-15659

+ RHSA-2020:3386 Important: java-1.8.0-ibm security update
https://access.redhat.com/errata/RHSA-2020:3386
CVE-2019-17639
CVE-2020-2590
CVE-2020-2601
CVE-2020-14556
CVE-2020-14577
CVE-2020-14578
CVE-2020-14579
CVE-2020-14583
CVE-2020-14593
CVE-2020-14621

+ RHSA-2020:3385 Important: libvncserver security update
https://access.redhat.com/errata/RHSA-2020:3385
CVE-2017-18922

+ About the security content of iCloud for Windows 11.3
https://support.apple.com/ja-jp/HT211294
CVE-2020-9871
CVE-2020-9872
CVE-2020-9874
CVE-2020-9879
CVE-2020-9936
CVE-2020-9937
CVE-2020-9873
CVE-2020-9938
CVE-2020-9919
CVE-2020-9876
CVE-2020-9877
CVE-2020-9875
CVE-2020-9894
CVE-2020-9915
CVE-2020-9925
CVE-2020-9893
CVE-2020-9895
CVE-2020-9910
CVE-2020-9916
CVE-2020-9862

+ About the security content of iCloud for Windows 7.20
https://support.apple.com/ja-jp/HT211295
CVE-2020-9871
CVE-2020-9872
CVE-2020-9874
CVE-2020-9879
CVE-2020-9936
CVE-2020-9937
CVE-2020-9873
CVE-2020-9938
CVE-2020-9877
CVE-2020-9919
CVE-2020-9876
CVE-2020-9875
CVE-2020-9894
CVE-2020-9915
CVE-2020-9925
CVE-2020-9893
CVE-2020-9895
CVE-2020-9910
CVE-2020-9916
CVE-2020-9862

+ Google Chrome 84.0.4147.125 released
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop.html

+ Prenotification Security Advisory for Adobe Acrobat and Reader | APSB20-48
https://helpx.adobe.com/security/products/acrobat/apsb20-48.html

+ CESA-2020:3233 Important CentOS 6 firefox Security Update
https://lwn.net/Articles/828268/

+ CESA-2020:2985 Important CentOS 6 java-1.8.0-openjdk Security Update
https://lwn.net/Articles/828271/

+ CESA-2020:2968 Important CentOS 7 java-1.8.0-openjdk Security Update
https://lwn.net/Articles/828270/

+ CESA-2020:3284 Important CentOS 6 postgresql-jdbc Security Update
https://lwn.net/Articles/828275/

+ CESA-2020:3253 Important CentOS 7 firefox Security Update
https://lwn.net/Articles/828269/

+ CESA-2020:3345 Important CentOS 6 thunderbird Security Update
https://lwn.net/Articles/828276/

+ CESA-2020:3344 Important CentOS 7 thunderbird Security Update
https://lwn.net/Articles/828277/

+ CESA-2020:3281 Important CentOS 7 libvncserver Security Update
https://lwn.net/Articles/828273/

+ CESA-2020:2969 Important CentOS 7 java-11-openjdk Security Update
https://lwn.net/Articles/828272/

+ CESA-2020:3285 Important CentOS 7 postgresql-jdbc Security Update
https://lwn.net/Articles/828274/

+ Mozilla Thunderbird 78.1.1 released
https://www.thunderbird.net/en-US/thunderbird/78.1.1/releasenotes/

+ Linux kernel 5.7.14, 5.4.57, 4.19.138, 4.14.193 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.14
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.57
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.138
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.193

+ glibc 2.32 relesed
https://sourceware.org/pipermail/libc-announce/2020/000029.html

+ PHP 7.4.9 Released
https://www.php.net/ChangeLog-7.php#7.4.9

+ JVNVU#98423028 トレンドマイクロ株式会社製のウイルスバスター クラウドのインストーラにおける DLL 読み込みに関する脆弱性
http://jvn.jp/vu/JVNVU98423028/index.html
CVE-2020-15602

+ JVNVU#94105662 トレンドマイクロ株式会社製のウイルスバスター クラウドのドライバに境界外読み込みの脆弱性
http://jvn.jp/vu/JVNVU94105662/index.html
CVE-2020-15603

+ Apacheの脆弱性情報(Important: CVE-2020-9490, Moderate: CVE-2020-11984, CVE-2020-11993)
https://security.sios.com/vulnerability/apache-security-vulnerability-20200808.html
CVE-2020-9490
CVE-2020-11984
CVE-2020-11993

大東建託でデータ流出、顧客が別の顧客の情報にアクセスできた理由
https://xtech.nikkei.com/atcl/nxt/column/18/00598/032700076/?ST=nxt_thmit_security

不正アクセスで漏洩なら1件でも本人に通知、法改正で増す個人情報保護の「重し」
https://xtech.nikkei.com/atcl/nxt/column/18/00989/080500032/?ST=nxt_thmit_security

日本の金融機関への「不正アクセス権」は2500ドル、闇市場の最新事情
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04434/?ST=nxt_thmit_security

UPDATE: JVNVU#94736763 Treck 製 IP スタックに複数の脆弱性
http://jvn.jp/vu/JVNVU94736763/index.html

JVNVU#90924965 Advantech 製 WebAccess HMI Designer に複数の脆弱性
http://jvn.jp/vu/JVNVU90924965/index.html

JVNVU#99172970 Geutebruck 製 G-Cam および G-Code に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99172970/index.html

JVNVU#90331695 Delta Industrial Automation TPEditor における複数の脆弱性
http://jvn.jp/vu/JVNVU90331695/index.html

2020年8月6日木曜日

6日 木曜日、仏滅

+ Linux kernel 5.7.13, 5.4.56, 4.19.137, 4.14.192 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.13
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.56
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.137
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.192

+ hitachi-sec-2020-124 Multiple Vulnerabilities in Cosminexus
http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2020-124/index.html
CVE-2020-1935
CVE-2020-1938

+ hitachi-sec-2020-124 Cosminexusにおける複数の脆弱性
http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2020-124/index.html
CVE-2020-1935
CVE-2020-1938

+ Apache HTTP Server 2.4.46 Released
https://downloads.apache.org/httpd/CHANGES_2.4.46

+ JVNVU#99160193 トレンドマイクロ社のルートキット対策ドライバに入力値検証不備の脆弱性
http://jvn.jp/vu/JVNVU99160193/index.html
CVE-2020-8607

JVNVU#96993482 Delta Electronics Industrial Automation CNCSoft ScreenEditor に複数の脆弱性
http://jvn.jp/vu/JVNVU96993482/index.html

UPDATE: JVNVU#94736763 Treck 製 IP スタックに複数の脆弱性
http://jvn.jp/vu/JVNVU94736763/index.html

UPDATE: JVNVU#98487886 GRUB2 にバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU98487886/index.html

2020年8月5日水曜日

5日 水曜日、先負

+ RHSA-2020:3285 Important: postgresql-jdbc security update
https://access.redhat.com/errata/RHSA-2020:3285
CVE-2020-13692

+ RHSA-2020:3281 Important: libvncserver security update
https://access.redhat.com/errata/RHSA-2020:3281
CVE-2017-18922

+ Linux kernel 5.8 released
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/?h=v5.8

CentOS Community newsletter, August 2020 (#2008)
https://blog.centos.org/2020/08/centos-community-newsletter-august-2020-2008/

全世界5万人が在宅勤務 VPN渋滞とも無縁
武田薬品工業
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/072800056/?ST=nxt_thmit_security

ネットで不倫相手を探すあなた そんな人を攻撃者は狙っている
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/072800035/?ST=nxt_thmit_security

VPN
安全な通信を実現する技術
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/071700136/?ST=nxt_thmit_security

船舶用品の検査機関、標的型のランサムウエアに感染か
https://xtech.nikkei.com/atcl/nxt/news/18/08494/?ST=nxt_thmit_security

厚労省肝いりのコロナ対策システム、全国稼働を阻む自治体との溝
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04411/?ST=nxt_thmit_security

UPDATE: JVNVU#94736763 Treck 製 IP スタックに複数の脆弱性
http://jvn.jp/vu/JVNVU94736763/index.html

UPDATE: JVN#40400577 トヨタ?動?製 Global TechStream (GTS) におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN40400577/index.html

2020年8月4日火曜日

4日 火曜日、友引

+ RHSA-2020:3284 Important: postgresql-jdbc security update
https://access.redhat.com/errata/RHSA-2020:3284
CVE-2020-13692

+ RHSA-2020:3280 Moderate: nss and nspr security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2020:3280
CVE-2019-11756
CVE-2019-17006
CVE-2019-17023
CVE-2020-12402

+ PDFCreator 4.1.1 released
https://www.pdfforge.org/blog/pdfcreator-411-maintenance-release

+ UPDATE: Oracle Critical Patch Update Advisory - July 2020
https://www.oracle.com/security-alerts/cpujul2020.html

+ JVN#25422698 SKYSEA Client View に権限昇格の脆弱性
http://jvn.jp/jp/JVN25422698/index.html
CVE-2020-5617

JVNTA#96129397 Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題
http://jvn.jp/ta/JVNTA96129397/index.html

緊急策がノーマルに 人事や業務も見直す
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/072800186/072800001/?ST=nxt_thmit_security

データベースを猫の鳴き声で埋め尽くす「ニャー攻撃」が急増、5000件超の被害か
https://xtech.nikkei.com/atcl/nxt/column/18/00598/032700073/?ST=nxt_thmit_security

2020年8月3日月曜日

3日 月曜日、先勝

+ RHSA-2020:3253 Important: firefox security update
https://access.redhat.com/errata/RHSA-2020:3253
CVE-2020-6463
CVE-2020-6514
CVE-2020-15652
CVE-2020-15659

+ iTunes for Windows 12.10.8 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT211293
CVE-2020-9871
CVE-2020-9872
CVE-2020-9874
CVE-2020-9879
CVE-2020-9936
CVE-2020-9937
CVE-2020-9873
CVE-2020-9938
CVE-2020-9919
CVE-2020-9876
CVE-2020-9877
CVE-2020-9875
CVE-2020-9894
CVE-2020-9915
CVE-2020-9925
CVE-2020-9893
CVE-2020-9895
CVE-2020-9910
CVE-2020-9916
CVE-2020-9862

+ CESA-2018:3140 Moderate CentOS 7 fwupdate Security Update
https://lwn.net/Articles/827534/

+ CESA-2020:3217 Moderate CentOS 7 shim-signed Security Update
https://lwn.net/Articles/827535/

+ CESA-2020:3217 Moderate CentOS 7 shim Security Update
https://lwn.net/Articles/827536/

+ CESA-2020:3217 Moderate CentOS 7 grub2 Security Update
https://lwn.net/Articles/827537/

+ CESA-2020:3220 Important CentOS 7 kernel Security Update
https://lwn.net/Articles/827538/

+ Mozilla Foundation Security Advisory 2020-35 Security Vulnerabilities fixed in Thunderbird 68.11
https://www.mozilla.org/en-US/security/advisories/mfsa2020-35/
CVE-2020-15652
CVE-2020-6514
CVE-2020-6463
CVE-2020-15659

+ Mozilla Thunderbird 78.1.0 released
https://www.thunderbird.net/en-US/thunderbird/78.1.0/releasenotes/

+ Linux kernel 5.7.12, 5.4.55, 4.19.136, 4.14.191, 4.9.232, 4.4.232 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.7.12
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.55
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.136
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.191
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.232
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.232

+ hitachi-sec-2020-123 DoS Vulnerability in HiRDB
http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2020-123/index.html

+ hitachi-sec-2020-122 Multiple Vulnerabilities in Hitachi Command Suite, Hitachi Automation Director, Hitachi Configuration Manager, Hitachi Infrastructure Analytics Advisor and Hitachi Ops Center
http://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2020-122/index.html
CVE-2020-14556
CVE-2020-14562
CVE-2020-14573
CVE-2020-14577
CVE-2020-14578
CVE-2020-14579
CVE-2020-14581
CVE-2020-14583
CVE-2020-14593
CVE-2020-14621
CVE-2020-14664

+ hitachi-sec-2020-123 HiRDBにおけるDoS脆弱性
http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2020-123/index.html

+ hitachi-sec-2020-122 Hitachi Command Suite製品, Hitachi Automation Director, Hitachi Configuration Manager, Hitachi Infrastructure Analytics AdvisorおよびHitachi Ops Center製品における複数の脆弱性
http://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2020-122/index.html
CVE-2020-14556
CVE-2020-14562
CVE-2020-14573
CVE-2020-14577
CVE-2020-14578
CVE-2020-14579
CVE-2020-14581
CVE-2020-14583
CVE-2020-14593
CVE-2020-14621
CVE-2020-14664

+ JVNVU#94090210 複数の Apple 製品における脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU94090210/index.html

+ JVNVU#98487886 GRUB2 にバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU98487886/index.html
CVE-2020-10713

ランサムウエア「Ekans」の正体
[第9回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/071700009/?ST=nxt_thmit_security

リモート・デスクトップ・サービス(Remote Desktop Service)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/072200067/?ST=nxt_thmit_security

セキュリティー対策の定石 認証と暗号化が必須
[第5回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/032300082/071600009/?ST=nxt_thmit_security

Windowsの更新プログラムはいつ配信されるの?
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800014/071600033/?ST=nxt_thmit_security

JVN#84959128 Fanuc i Series CNC におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN84959128/index.html

JVNVU#94736763 Treck 製 IP スタックに複数の脆弱性
http://jvn.jp/vu/JVNVU94736763/index.html

JVNVU#90407983 Philips 製 DreamMapper にログファイルからの情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU90407983/index.html

JVNVU#97481128 Inductive Automation 製 Ignition 8 に認可処理の欠如に関する脆弱性
http://jvn.jp/vu/JVNVU97481128/index.html

JVN#73169744 複数の PHP工房製品における複数の脆弱性
http://jvn.jp/jp/JVN73169744/index.html

JVNVU#97997181 横河電機製 CAMS for HIS に複数の脆弱性
http://jvn.jp/vu/JVNVU97997181/index.html

JVNVU#90224831 複数の三菱電機製 FA 製品における複数の脆弱性
http://jvn.jp/vu/JVNVU90224831/index.html

JVNVU#93893801 複数の三菱電機製 FA エンジニアリングソフトウェア製品における不適切なファイルアクセス制御の脆弱性
http://jvn.jp/vu/JVNVU93893801/index.html