Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 敦賀原発2号機、新規制基準に不適合 規制委「活断層否定できず」 (毎日, 7/26)。昔からずーーーーーーーーーーーーーーーーーーっと言われてきた件。 関連:
敦賀発電所敷地内破砕帯の調査に関する有識者会合 (原子力規制委員会 / WARP)
敦賀発電所敷地内破砕帯の調査に関する有識者会合 評価会合 (原子力規制委員会 / WARP, 2012.12.10)。 ここで死んだはずなのに、その後もうだうだ言い続けてきたんだよな。
敦賀原発終了のおしらせ (memo, 2012.12.11)。リンク先はほぼ死んでいるなあ。
古賀茂明「敦賀原発2号機直下の活断層の意味」 その1~3 (現代ビジネス, 2012.12.16)
日本原子力発電(日本原電)敦賀原発 活断層問題 (地震がよくわかる会)
活断層か否かめぐり背水の陣の敦賀原発 空転する議論、新たな懸念も (朝日, 2023.12.16)
2号機の原子炉直下の断層について、規制委の有識者会合は、13年と14年の2度、「将来活動する可能性のある断層」と指摘した。原電が審査を申請する前のこと。
敦賀発電所敷地内破砕帯の評価について (原子力規制庁, 2013.05.22)
日本原子力発電株式会社敦賀発電所の敷地内破砕帯の評価について(その2) (原子力規制庁, 2015.03.25)
敦賀原発、活断層「否定は困難」 原子力規制委員会が見解 (日経, 5/31)
敦賀原発2号機、新基準不適合 規制委「活断層否定できず」 (日経, 7/26)
》 Preliminary Post Incident Review: Content Configuration Update Impacting the Falcon Sensor and the Windows Operating System (BSOD) (CrowdStrike, 7/25)
Systems in scope include Windows hosts running sensor version 7.11 and above that were online between Friday, July 19, 2024 04:09 UTC and Friday, July 19, 2024 05:27 UTC and received the update. Mac and Linux hosts were not impacted.トレンドマイクロのときは、CNET によると 「23日午前7時33分から9時2分の間」。 問題発生を認識して止めるまでには、1時間ちょっとくらいは必要なようです。
What Happened on July 19, 2024?
On July 19, 2024, two additional IPC Template Instances were deployed. Due to a bug in the Content Validator, one of the two Template Instances passed validation despite containing problematic content data.
Based on the testing performed before the initial deployment of the Template Type (on March 05, 2024), trust in the checks performed in the Content Validator, and previous successful IPC Template Instance deployments, these instances were deployed into production.直接的には Content Validator の不具合だそうです。
改善策がいくつも記載されているのだけど、
Implement a staggered deployment strategy for Rapid Response Content in which updates are gradually deployed to larger portions of the sensor base, starting with a canary deployment.段階的に配備することで問題を発見しやすくすると。
Third Party Validation
- Conduct multiple independent third-party security code reviews.
- Conduct independent reviews of end-to-end quality processes from development through deployment.
第三者によるコードレビューも行うそうです。
》 イセトーのランサムウェア感染と情報漏えいに関してのまとめ (Rocket Boys, 7/24)。関連:
イセトーへのサイバー攻撃、情報流出30万件超に 市民の所得情報も (朝日, 7/3)
イセトー情報流出問題、90万件超に 識者「2015年と似た構図」 (朝日, 7/11)j。1週間で既知の漏洩規模が 3 倍に。 「ただ、同社は公の場で状況を説明しておらず、被害の全容は明らかでない」
サイバー攻撃を受けたイセトー、データ消去を怠る…氏名や住所、納税額など15万件流出で市長「厳正に対処」 (読売, 7/12)
情報流出のイセトー「我々の不手際」 小谷達雄会長が謝罪 (日経, 7/23)
》 「サードパーティークッキーの廃止の撤回」ってどういうこと? (IIJ Engineers Blog, 7/25)
》 OpenSSL New Governance Structure and Two New Projects (OpenSSL, 7/24)。iida さん情報ありがとうございます。
》 機能性表示食品、「根拠」に社員の論文のケース 「紅麴」サプリも (朝日, 7/29)。機能性表示食品方面では、まともに査読されていないような論文誌が大流行りな模様。
京都大のグループは2月、機能性表示食品の根拠とされた論文32本を調べ、うち7割が「(機能性食品の)有利な結果ばかりを強調している」と指摘する論文を発表した(https://doi.org/10.1016/j.jclinepi.2024.111302)。体重や腹囲などに変化がなかったことには触れず、内臓脂肪が減ったという結果だけを強調しているといった問題がみられたという。
32本の論文のうち18本が同じ医療専門誌に掲載されていた。このうち問題が指摘されたものは17本あった。
(中略)
朝日新聞は、消費者庁のデータベースにある約8千件の届け出情報から、各製品が健康増進効果の根拠としている「採用文献リスト」を独自に調べた。リストが見つかった7389件の届け出のうち、この専門誌に載った論文を採用しているものが少なくとも3942件(53%)あった。
》 KDDIら、国内初Starlink活用による建設中トンネル坑内の通信エリア化を実現 (Business Network, 7/25)。 ファルコン9 の2段目失敗によって Starlink 衛星の増設も止まってしまっているんだよなあ。
》 「衝撃。デカすぎる」 ディズニーのクルーズ船にザワつきまくる日本の船業界 それは脅威か、希望か (乗りものニュース, 7/17)。「日本船籍船で14万総トンは例がない」「3300億円という投資額は開園当時のディズニーシーの総工費と同規模」
航行不能のジェット船 出港からほぼ1日たち伊豆大島に入港 (NHK, 7/25)。「一度、えい航のひもが切れてしまったときは時間が延びると知って絶望しました」。曳航は簡単じゃないんだよね。
航行不能の高速ジェット船、曳航作業が難航、伊豆大島への到着見込みは25日午前4時でさらに遅れる可能性も (TBS / Yahoo, 7/24)
船は千葉県の野島崎沖の南西を漂流していましたが、通報を受けた海上保安庁の巡視船「おきつ」が現場付近から曳航し、東海汽船が手配したタグボートに牽引を引き継いだということです。
東海汽船などによりますと、その後、タグボートと船を繋ぐロープがスクリューに巻き込まれて曳航が難しくなり、海上保安庁の別の巡視船「かの」が曳航、現在はさらに別のタグボートが牽引している状況です。ボーイング929 (ウィキペディア)、 “ボーイングが作った船”ジェットフォイル、実はかなり「旅客機」っぽい!? 飛行機目線で乗船 (乗りものニュース, 2022.10.09)
【解説】油なぜ漏れた? 考えられることは… 高速ジェット船一時漂流 乗客乗員121人、体調不良者も (日テレ, 7/24)
東海大学海洋学部 山田吉彦教授
「おそらく点検はしっかりしていても、この船、かなり古いです。造ってから44年たっている船で、途中補修もしていますが、どうしても経年劣化で、なかなか気付かない傷やゆがみが出ていた…あるいはひずみが中に出ていた可能性があります。それが高速走行に入った段階で、限界を超えてしまったということが考えられます」一時漂流の「高速ジェット船」機関トラブルが他人事でないワケ 維持更新できる人材だいじょうぶ? (乗りものニュース, 7/25)
実際、このたび航行不能になった「セブンアイランド愛」は1980年10月竣工(東海汽船での運航は2002年より)で、すでに40年以上も使われ続けているベテラン船です。種子屋久高速船が運航する「トッピー7」は、さらに古い1979年竣工と、老朽化が課題になっています。
しかし、代替船を検討する際にネックになるのが、50億円を超える高額な船価です。「ジェットフォイル」建造レポート ~その特性と新造船「セブンアイランド結」の紹介~ (JRTT 鉄道・運輸機構)。ひさびさの新造船。
》 ファルコン9 方面。 鬼のような安定性を誇っていたファルコン9 だったが、7/11 の打ち上げにおいて第2段に不具合が発生、ペイロードの予定軌道投入に失敗。
スペースX「ファルコン9」ロケット、打ち上げ失敗 - 考えられる影響は? (鳥嶋真也 / マイナビニュース, 7/23)
STARLINK MISSION (SpaceX, 7/11)
The FAA responding to NSF (twitter, 7/12)
The FAA responding to NSF (twitter, 7/17)
米「スペースX」 主力ロケット打ち上げ失敗 液体酸素漏れる (NHK, 7/13)
スペースX「ファルコン9」、7年ぶり軌道投入失敗 再点火できず (ロイター, 7/14)
「ファルコン9」不具合、 スペースX頼みの危うさ露呈 今後のゆくえは? (MIT Technology Review, 7/23)。ファルコン9 は優れた機体だが、それだけでは単一障害点になりかねないんだよなあ。
FAAが7月11日に公開した声明は、12日にはXで広まった。FAAは、今回発生した不具合を認識しており、調査が必要だとしている。「今回の不具合に関連するシステム、プロセス、手順が公共の安全に影響を及ぼさないとFAAが判断することが、打ち上げ再開の前提となる」と声明は述べている。
スペースXは調査に協力する意向を示している。(中略) 一方、スペースXは、調査期間中もファルコン9の運用を継続することを求めている。「FAAはこの要請について検討しており、検討プロセスのあらゆる段階で安全を重視する」とFAAは声明で述べた。
》 【ヘリ ライブ】伊豆諸島向かうジェット船漂流 乗客乗員121人 (NHK, 7/24)。ジェットフォイル「セブンアイランド愛」 が機関故障により漂流。 巡視船などにより曳航中。
【第一報】7/24(水)セブンアイランド愛 機関故障に伴う欠航について (東海汽船, 7/24)
》 事実検証委員会の調査報告を踏まえた取締役会の総括について (小林製薬, 7/23)。調査報告書が添付されている。
》 個人情報保護法第2期「3年ごと見直し」が佳境に差し掛かっている (高木浩光@自宅の日記, 7/7)
Chrome 127.0.6533.72/73 (Windows / Mac) および 127.0.6533.72 (Linux) が stable に。 24 件のセキュリティ修正を含む。
関連:
Chrome for Android Update (Google, 2024.07.23)。Chrome 127 (127.0.6533.64) for Android。
「Google Chrome 127」が公開 ~Windowsで新たなCookie盗難対策、Entrust証明書の信頼は削除 (窓の杜, 2024.07.24)
「Google Chrome 127」安定版リリース、フォントごとに見た目の大きさが変わる問題に対応 (gigazine, 2024.07.24)
Django
Django CVE-2024-38875, CVE-2024-39329, CVE-2024-39330, and CVE-2024-39614 (oss-sec ML, 2024.07.09)
BIND の夏、日本の夏。 (背景: 「KINCHO」の花火)
4 件。いずれも High / Remotely、CVSS Score: 7.5。
CVE-2024-0760: A flood of DNS messages over TCP may make the server unstable (ISC, 2024.07.23)。BIND 9.18.1〜27, 9.19.0〜24 に影響。
関連: (緊急)BIND 9.xの脆弱性(namedの動作不安定)について(CVE-2024-0760) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - (JPRS, 2024.07.24)
CVE-2024-1737: BIND’s database will be slow if a very large number of RRs exist at the same name (ISC, 2024.07.23)。BIND 9.11 / 9.16 / 9.18 / 9.19 系列に影響。
CVE-2024-1975: SIG(0) can be used to exhaust CPU resources (ISC, 2024.07.23)。BIND 9.0.0〜9.11.37 および 9.16 / 9.18 / 9.19 系列に影響。
CVE-2024-4076: Assertion failure when serving both stale cache data and authoritative zone content (ISC, 2024.07.23)。BIND 9.16.13〜50 および 9.18 / 9.19 系列に影響。
serve-stale 応答を無効にすることで緩和できる。
BIND 9.18.28 / 9.20.0 で修正されている。BIND 9.16 系は EOL になってます。
関連: BIND 9.16から9.18への移行のポイント (dnsops.jp, 2023.11.21)
》 東海道新幹線 豊橋駅~三河安城駅間の保守用車脱線について (JR東海, 7/22)。新幹線を止めた件。 砕石運搬散布車 x 6 + モータカー (2+1) が停止中のマルチプルタイタンパーに衝突。 モータカーが 1 軸脱輪、 マルチプルタイタンパーが 3 軸脱輪 (!)。
新幹線 浜松-名古屋 終日運転取りやめ 脱線車両の運び出し終了 (NHK, 7/22)
JR東海は会見で、追突した保守用の車両ではブレーキ操作が行われていたものの何らかの原因で速度を落とせなかったと明らかにしました。操作が甘かったのか、装置不具合なのか、両方なのか。
JR東海は記者会見で、脱線した保守用の車両を線路上から撤去する作業が当初の見込みからずれ込んだことについて、「衝突した保守用の車両どうしを切り離す作業や漏れた油を除去する作業、損傷した枕木を20本ほど交換する作業などに時間がかかった」と述べました。マルチプルタイタンパーが 3 軸脱輪するほどの衝撃ですからね……。
保守用車両2台が衝突し脱線…周辺住民「寝ててドーン!で起きた」東海道新幹線の一部運転見合わせ 再開見通せず (東海テレビ / Yahoo, 7/22)
【動画で見る】保守用車両2台が衝突し脱線…周辺住民「寝ててドーン!で起きた」東海道新幹線の一部運転見合わせ 再開見通せず (東海テレビ / YouTube, 7/22)。砕石運搬散布車にはバラストがいっぱい積まれているのがわかる。
時速40キロで衝突 保守車両同士の事故で東海道新幹線“大混乱”炎天下で復旧作業も…遅れの要因は「壊れ方が思ったよりひどかった」【news23】 (TBS, 7/23)、動画
22日午前3時37分ごろ、保守用の車両が前に止まっていた別の保守用車両に追突し、脱線しました。JR東海によると、ブレーキをかけたものの、何らかの理由で減速せず、時速40キロで衝突したということです。「保守用車の壊れ方が、当初思っていたよりひどかった。当初もくろんでいた走行スピードより半分ぐらいのスピード。まったく想定していなかった。線路設備も一部損傷しており、枕木を20本ほど交換しなきゃいけない。もろもろ行う中で時間を要した、誠に申し訳ない」東海道新幹線の保守用車両の事故があった現場。後方は名古屋方面=2024年7月22日午前9時49分、愛知県蒲郡市神ノ郷町舟川原、朝日新聞社ヘリから、上田幸一撮影 (朝日, 7/22)。見通しはよさそうな場所のように見える。夜間というのはあるのだが。
東海道新幹線運休で25万人に影響 「大変重く受け止める」 国交相がJR東海に原因究明と再発防止を指示 (テレビ静岡 / Yahoo, 7/23)
》 鉄道の保守作業に適したアシストスーツの開発について (JR東海, 7/23)。上腕部をアシスト。
》 旧ビッグモーター不正「6.5万件」と損保認定 会社は調査打ち切り (朝日, 7/22)
》 「弥助は侍」という偽史を広めたロックリーは罪に問えない事を法学の専門家が解説 (togetter, 7/18)
》 「旧ジャニーズ問題を忘れてはいけない」カンニング竹山が今言いたいそのワケは? (文化放送, 7/22)
Technical Details: Falcon Content Update for Windows Hosts (CrowdStrike Blog, 7/20)。DeepL 訳:
チャネルファイル291は、ファルコンが Windowsシステム上で名前付きパイプ1の実行をどのように評価するかを制御する。 名前付きパイプは、Windowsにおける通常の、プロセス間、またはシステム間の通信に使用される。
UTC 04:09に発生したアップデートは、サイバー攻撃で一般的なC2フレームワークによって使用されている、新たに観測された悪意のある名前付きパイプを標的としたものでした。この設定更新は、オペレーティングシステムのクラッシュを引き起こすロジックエラーを引き起こしました。Microsoft、CrowdStrikeブルスク対策に第3の復旧手段を公表 ~USB禁止環境向けの奥の手 ネットワーク経由で起動するPXE復旧オプション (窓の杜, 7/23)
世界大混乱の元凶、謎のセキュリティー企業 クラウドストライクの誤算 (日経ビジネス, 7/22)
クラウドストライクCEOに議会公聴会での証言要請、米下院委員会 (Bloomberg, 7/23)
クラウドストライクの大規模障害、損失1600億円か 賠償責任の負担先は? (CNN, 7/22)
クラウドストライク関連の世界的システム障害、フライト欠航まだ続く (CNET, 7/23)
大規模システム障害で米国が大混乱、「クラウドストライクショック」いまだ収まらず (日経 xTECH, 7/22)
数百台のPOSレジを手作業で復旧、多くの国内企業がWindows大規模障害に直面 (日経 xTECH, 7/22)
日本マクドナルドのシステム障害、4日目に突入しても全面復旧せず (日経 xTECH, 7/22)
》 「Google URL Shortener」(goo.gl)で作成された短縮URL、リダイレクト終了へ (@IT, 7/23)。あと 1 年ですか。 このページに記載していた短縮 URL (http://goo.gl/pwSG) もコメントアウトしました。
関連: Google、URL短縮サービス「goo.gl」を一般公開 (Internet Watch, 2010.10.01)
》 日テレ、ドラマ制作の指針を発表 「セクシー田中さん」問題うけ 放送の1年前までに原作側と基本合意など (ITmedia, 7/22)
日本テレビドラマ制作における指針 (日テレ, 7/22)
当社刊行作品の映像化に関する、今後の指針について (小学館, 6/3)
》 Google、サードパーティCookie廃止方針を変更 新たなユーザー選択肢を導入へ (ITmedia, 7/23)。3rd party cookie がいかにオイシイものだったか、という話でもあるよなあ。
》 Intel、第13/14世代Coreにおける不安定動作の根本原因を解明。8月にパッチ提供 (PC Watch, 7/23)
関連: Intel、第13~14世代CPUが不安定になる原因を特定したと発表。しかし、肝心なことは抜け落ちている (ニッチなPCゲーマーの環境構築Z, 7/23)
この発表には非常に大事なことが抜け落ちています。このマイクロコードにより、影響を受けたCPUが正常に動作するようになるのかどうかです。
》 Wi-Fi 7対応でも「320MHz幅」でつながるPCとつながらないPCがある、謝罪と問題の整理 (Internet Watch, 7/22)
まずは謝罪から。
筆者がこれまでに本誌で解説したWi-Fi 7関連のレビュー記事で、320MHz幅接続での速度をテストしたものがあるが、これらのテストで使用した機材は、技術基準適合証明で320MHz幅が許可されていない製品であった。
具体的には、MSI Prestige-16-AI-Studio-B1VFG-8003JPで、筆者が個人的に2月に購入したPCとなる。
このPCには、Killer Wi-Fi 7 BE1750w (Intel BE200D2W)が搭載されているのだが、筆者が購入したPCの底面に記載されている技適番号は「003-230204」となっており、下図のように6GHz帯に関しては160MHz幅までが許可されている。
このIntel BE200D2Wには、もうひとつ「003-240053」技適番号があり(5月27日付)、こちらは「D1D,G1D 6.105GHz,6.265GHz 0.000195W/MHz」という記載がある通り、320MHz幅の2つのチャネルが許可されている。
昨年末に国内で320MHz幅が認可され、筆者が購入した当該PCが発売されたのが2月8日だったので、勝手に320MHz幅に対応済みと考えていたが、実際はそうではなかったわけだ。いやいやいや……。こんなん普通は気付かんやろ……。
しかしながら、ややこしいのが、この状況が現在は変わっていることだ。
Intel BE200D2W用のドライバーは、その後、「23.30.0」「23.40.0」「23.50.0」「23.60.1」とリリースされており、23.30.0以降のドライバーでは、以前のような特定設定での320MHz幅接続はできないように制限されている。最新ドライバーでは当該製品の技適状況にあわせた動作になっている模様。 当初の 320MHz イケてしまう動作は不具合でしたと。そりゃそうか。
》 統合戦闘指揮システムが陸のセンサーと海のミサイルを統合しミサイルを迎撃 (海国防衛ジャーナル, 7/20)
》 3大クラウド×日米両リージョンでハニーポットを動かしてみる【前編】 (gihyo.jp, 7/10)、 【後編】 (gihyo.jp, 7/11)
》 ケンタッキーフライドチキンの秘伝のレシピに限りなく近いスパイスブレンドが市販されている (gigazine, 7/21)。Chicken Seasoning 99-X。最終兵器感がすごい。
》 Yandexの親会社がロシア国外へ撤退しNVIDIA製GPUを大量確保へ (gigazine, 7/22)
》 南極の「極渦」による温暖化現象が発生中、地球全体で異常気象を引き起こす可能性 (gigazine, 7/22)
CrowdStrike の障害の影響を受けたお客様への支援について (Microsoft, 7/22)
私たちは現時点の推定として、このソフトウェア更新が 850 万台の Windows 端末に影響を与えたと考えています。これは、すべての Windows マシンの 1% 未満にあたります。現在全世界で稼働しているWindowsが何億台なのかは示されていませんが、2022年1月時点で14億台以上であるとされています: PC の新たな時代 (Microsoft, 2022.01.28)
PC 市場は過去 10 年間で最大の伸びを示しました。2021 年に、世界の PC 出荷台数は 3 億 4000 万台を突破し、Canalys によるとその成長率は 2019 年比で 27% 増となります。今や、Windows は、月間 14 億台以上のアクティブなデバイス上で稼働し、その総使用時間はパンデミック前に比べて 10% 増加しています。“ブルースクリーン問題” CrowdStrike CEOが「心よりお詫び」 (ascii.jp, 7/22)。ジョージ・カーツ CEO。 不具合を引き起こしたチャンネルファイル C-00000291*.sys にちなんで、 月給を 291 ドルにするかどうかは不明。 (多分しない)
CrowdStrikeのアップデートを起因とした世界的ブルースクリーン障害(BSoD):便乗したサイバー攻撃に注意 (トレンドマイクロ セキュリティ blog, 7/21)
多数のWindowsでブルースクリーンを発生させてしまったCrowdStrikeのコードは何が悪かったのか (gigazine, 7/22)
Microsoftが「CrowdStrikeの障害の原因は欧州委員会のクレーム」と当てこすり、なぜMacは無傷だったのかも浮き彫りに (gigazine, 7/22)
Appleは2020年にセキュリティ製品の開発者に向けて、カーネルレベルへのアクセスを許可しないと伝えました。これはAppleのパートナー企業にとっては頭痛の種ですが、同時にMacが今回のような問題とは無縁になった理由でもあると、Mac専門のセキュリティソフト企業・DoubleYouのパトリック・ウォードルCEOは述べています。
しかし、Microsoftは他社製品がOSのカーネルにアクセスするのを防ぐことができません。なぜなら、Microsoftは2009年に締結した欧州委員会との契約で、Microsoftと同レベルのWindowsへのアクセス権をセキュリティソフトの開発者に与えなければならないことになっているからです。
》 中国と北朝鮮首脳の足形が消えた 大連の海辺で「友好の印」に異変 (朝日, 7/22)
記者が今月20日に現地を訪れると、足形があった場所はアスファルトで覆われていた。事情に詳しい地元の観光関係者は、「国家指導者の足形を観光の宣伝に使うのは良くない」とする当局からの指示があった、と証言した。消えた時期については「はっきりした日時は覚えていないが、昨年の秋ごろ」だと答えた。オレンジ色の路面標示も最近になって施されたという。
》 Thunderbird 128.0.1 がリリースされた (mozillaZine, 7/20)。ひきつづき冒険者向け。
》 最新戦車3両やオートバイ含むロシア軍の「玉石混交」部隊が突撃、玉も石も砕け散る (Forbes, 7/22)
失敗したこの突撃に参加した装甲兵員輸送車が、戦車よりも少なかったらしいのは示唆的だ。ロシアは戦車の補充に苦労しているが、装甲兵員輸送車や歩兵戦闘車(IFV)の補充にはもっと苦労している。
》 Windowsパソコン相次ぎ異常停止 セキュリティーソフト原因か (朝日, 7/19)。CrowdStrike がやらかした模様。
回避方法: BSOD error in latest crowdstrike update (reddit)
- Boot Windows into Safe Mode or the Windows Recovery Environment
- Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
- Locate the file matching “C-00000291*.sys”, and delete it.
- Boot the host normally.
2005年のトレンドマイクロ ウイルスバスターの障害を思い起こしましたが、 今回のは全世界的に影響が出ているようです。
【随時更新】JR西やUSJでトラブルか Windows異常停止 (朝日, 7/19)
米国の全航空便が運航停止、Windowsトラブルで 現地報道 (朝日, 7/19)
Live: Major IT outage hits airlines, companies worldwide including Singapore, US and Australia (channelnewsasia.com, 7/19)
Live Updates: Global Tech Outage Grounds Flights and Hits Businesses (NYTimes, 7/19)
Major U.S. air carriers ground flights as mass IT outage hits Windows users (Washington Post, 7/19)
》 小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ (読売, 7/14)。リクルートの件というのはこれか。
小中学生に1人1台配備された学習用端末の利用を巡り、一部の自治体が、端末にアプリを提供するリクルート(東京)に子供の個人情報を直接取得・管理させていることがわかった。一部のデータは、保護者に十分な説明のないまま海外の事業者に委託されたり、一般向けに販売しているアプリの機能改善に使われたりしていることも判明。文部科学省は、自治体の情報管理が不適切だとみて、近く全国調査に乗り出す。
》 Microsoft、Windows11 23H2をすべてのユーザーに解放。Windows Updateを実行すると降ってくるように。ただし (ニッチなPCゲーマーの環境構築Z, 7/18)
日本時間で2024年10月9日をもってWindows11 バージョン22H2のサポートが終了となるため、企業や組織で管理されていないPCは手動でWindows Updateを実行しなくても、サポート終了日が近づくと自動的にWindows11 バージョン23H2へとアップデートされます。
(中略)
なお、Windows11 バージョン23H2が降ってくるのはWindows11のシステム要件を満たした環境のみです。Windows11非対応PCに無理矢理インストールした環境には降ってきません。
》 EU 2024.07.12にAI法がEU官報に掲載された (まるちゃんの情報セキュリティ気まぐれ日記, 7/16)
》 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合 (まるちゃんの情報セキュリティ気まぐれ日記, 7/15)
「ウォッチドッグ」ー鹿児島県警問題の背景ー (Hunter, 7/1)
鹿児島県警を舞台にした2件の「内部通報」の発端となったのは、2021年秋に起きた強制性交事件である。当時、県が設置した新型コロナウイルスの療養施設で、県医師会の男性職員(2022年10月に退職)に性被害を受けたとして、療養施設に勤務していた女性スタッフが告訴した件だ。
この件では、警部補として中央署に勤務していた男性職員の父親と男性職員が先手を打って同署に出向き、「刑事事件にはならない」という結論を引き出したあとだったため、警察は組織ぐるみで被害女性を門前払いにするという、理不尽な「警察一家」擁護が行われたことが明らかになっている。
ようやく告訴状を受理した後も、事件を矮小化しようとする警察幹部の思惑によって捜査は停滞。送検さえされていなかった2022年、県医師会の池田琢哉会長(先月15日に退任)と顧問弁護士の新倉哲朗氏(和田久法律事務所)が、記者会見を開いて「合意に基づく性行為だった」と断言し、性犯罪被害を訴えている女性に、さらに大きな精神的ダメージを与えるという暴挙に出る。ここまでも、その後も、女性の人権を無視した県医師会や、不当な捜査指揮を行っていた鹿児島県警を追及したのはハンターだけ。鹿児島に、「ウォッチドッグ」はいなかった。関連: 鹿児島県警内部通報、発端の「強制性交事件」被害者が初のコメント|にじむ県医師会・池田前会長への怒り (Hunter, 6/24)
【速報】鹿児島県警事件隠ぺい 「内部告発」 さらに1件 (Hunter, 7/16)
内部告発は元巡査長と元部長が発した2件だけではなかった。実は今年2月、現役警官が起こした犯罪の不当捜査を指摘する「内部告発」が、ある人物に郵送されていた。消された処理票データ|鹿児島県警不当捜査・もう一つの「霧島署員ストーカー事件」(1) (Hunter, 7/17)
消えた防犯カメラ映像|鹿児島県警不当捜査・もう一つの「霧島署員ストーカー事件」(2) (Hunter, 7/18)
当該事案のもみ消しや隠ぺいに関わったと考えられるのは、当時の霧島署長で現在は県警本部生活安全部長の南茂昭氏、同署の警務課、県警本部の人身・安全少年課、そして野川明輝本部長だ。本田尚志元生活安全部長が北海道のジャーナリスト・小笠原淳氏に送ったとされる内部告発文書に記されていた霧島署員によるストーカー事件とほぼ同じ構図、同じ登場人物である。
》 「たった一度のビラまきで逮捕」 関西生コン事件訴訟の原告側が冤罪と訴える「警察と検察の組合つぶし」 (東京, 7/15)。あいかわらずの特高しぐさ。
Apache 2.4.61 ChangeLog (2024.07.04)
Apache 2.4.62 が出ました。Apache 2.4.61 の修正も不十分だった模様です。
SECURITY: CVE-2024-40725: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A partial fix for CVE-2024-39884 in the core of Apache HTTP Server 2.4.61 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.62, which fixes this issue.あと CVE-2024-40898。 Windows 版のみ。
SECURITY: CVE-2024-40898: Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows (cve.mitre.org) SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue.
Credits: Smi1e (DBAPPSecurity Ltd.)関連: JVNVU#99133886 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2024.07.18)
2024 年 7 月のセキュリティ更新プログラム (月例) (2024.07.10)
CVE-2024-38112 の関連としてトレンドマイクロ セキュリティ blog 記事を追加した。
攻撃グループVoid Banshee、ゾンビ化したInternet Explorerの脆弱性「CVE-2024-38112」を悪用してWindowsユーザにゼロデイ攻撃を仕掛ける (トレンドマイクロ セキュリティ blog, 2024.07.17)
Windows 11 22H2/23H2 用 patch に不具合。KIR (Known Issue Rollback) で対応。
Windows Update Agent APIに不具合。KB5039302 / KB5040442をインストールしたWindows11にて発生 (ニッチなPCゲーマーの環境構築Z, 2024.07.16)
知らんかった。
以下の条件がすべて満たされているとき、第三者が同一 CA チェインが発行・署名したクライアント証明書を用いて、EAP-TLSによる認証が成功します。
PEAP, EAP-TTLSを使用している機関が該当します。eduroam JPのサイトにある FreeRADIUS 3.2 の設定ガイド(*)には注意事項が記載され、同時に配布している設定テンプレートでは上記 3. については対応済みです。
- Public CAの証明書をサーバ証明書として使用している (UPKIなど)。
- FreeRADIUSを使っていて、EAP-TLSを運用していないのに、機能が無効になっていない (デフォルト)。
- FreeRADIUSの設定ファイル mods-enabled/eap の中で、EAP-TLSを設定する
tls { } セクションに tls = tls-common が指定 (デフォルト) されている。- クライアント証明書の属性値を検証する機能が無効 (デフォルト) になっている。
関連:
【注意喚起】FreeRADIUSの設定は気を付けないとEAP-TLSに大穴が開く (EAP-TLSを使っていなくても) (hgot07 Hotspot Blog, 2024.04.08)
タイトルの通りなんですが、その昔これを見つけた時はヘンな汗が噴き出ましたよ。
RADIUS/UDP
RADIUS/UDP vulnerable to improved MD5 collision attack (cloudflare, 2024.07.09)。いやまあそうでしょうね、という感想しか出てこないわけですが。 対抗策としては RADIUS over TLS (RADSEC) の導入がよさげ。
What’s next?
(中略)
Transitioning to RADIUS over TLS: Following our work, many more vendors now offer RADIUS over TLS (sometimes known as RADSEC), which wraps the entire RADIUS packet payload into a TLS stream sent from RADIUS client to RADIUS server. This is the best mitigation against our attack and any new MD5 attacks that might emerge.関連:
Junos OS 向けユーザー アクセスおよび認証管理ガイド - RADIUS over TLS(RADSEC) (Juniper)。日本語がおかしいので、適宜英語版を参照。
Configuring RADSec (MR) (Meraki)
Cisco IOS XE Bengaluru 17.6.x(Catalyst 9600 スイッチ)セキュリティ コンフィギュレーション ガイド - RadSec の設定 (Cisco)
Enabling RadSec with FreeRADIUS (FreeRADIUS)、 RADIUSサーバをRadSecでつないでみよう! (FreeRADIUS編) (hgot07 Hotspot Blog, 2020.06.28)
CPython
Fwd: [Security-announce][CVE-2024-4032] Incorrect IPv4 and IPv6 private ranges (oss-sec ML, 2024.06.17)。 RFC6598: IANA-Reserved IPv4 Prefix for Shared Address Space (IETF) に記載の CDN 用アドレス 100.64.0.0/10 は private 扱いにしないと駄目だよねという話。 CPython は 3.12.4 と 3.13.0a6 で修正。
》 ミネラルウォーターから高濃度のPFAS、発がん性の恐れ指摘…神戸市内で製造され商品化 (読売, 7/12)
商品化されたペットボトルでは、最高で水道水に対する国の暫定目標値(1リットルあたり50ナノ・グラム)の2倍にあたる濃度を検出していた。
兵庫県明石市の辻本達也市議が、神戸市に情報公開請求し、判明した。ミネラルウォーターは食品衛生法上、清涼飲料水に規定され、同法に基づくPFASの規制などはなく、市は業者名を明らかにしていない。実際、アウトなものが見つかったと。2 年も前に。
市によると2022年12月、厚生労働省から情報提供があり、市は23年1月と6月に水質を検査。最高で商品のペットボトルからは100ナノ・グラム、原水となる地下水からは最高310ナノ・グラムが検出された。関連: (7/18 に朝日記事リンクを追加し、神戸市資料の体裁を整えました)
目標値660倍のPFAS 神戸市の調査で検出、明石市は安全性強調 (朝日, 7/6)。朝日さんが初報なんですかね。
ペットボトルのミネラルウォーターが汚染されていたことが発覚!1年以上販売されていたが神戸市は公表せず (スローニュース, 7/10)
ミネラルウォーターは食品衛生法上の「清涼飲料水」に位置づけられるが、同法ではPFASについての基準はない。
厚労省から示された「PFOS及びPFOA対応の手引き」にも、
<PFOS・PFOAは暫定目標値等が設定されていることから、継続的に摂取する水は目標値等を下回ることが望ましい>
<PFOS 及び PFOA が目標値等を超えて検出された地下水等を水源としている井戸等の設置者等に対して、PFOS 及び PFOA の特性やこれらの目標値等が設定されたことについて情報を提供する>
と書かれているにすぎず、飲み水や食品に含まれるPFASについて規制はない。オォゥ。「水道水に対する国の暫定目標値」しか無いので、ということか。 駄目じゃん。立法府も行政府も何をやっておるのか。
神戸市に公開請求 6 (明石市議会議員 辻本たつやの部屋, 7/8)。震源地。 神戸市から公開された資料が掲載されている。
令和6年1月15日(月)
健康局
食品衛生課
有機フッ素化合物(PFAS)が検出されたミネラルウォーターヘの対応について
〇概要
- 令和4年12月に厚生労働省より、「試買検査の結果、神戸市内製造のミネラルウォーターから水道水の暫定目標値を上回るPFASが検出された」旨の情報提供があった。
対象商品 [ ]
[ ] 製造
- 本市において、季節変動を踏まえ令和5 年1 月及び6 月に検査を行い、継続的に暫定目標値を超過している状況であることを確認した。
R5.1月検査 100 ng/L ~270 ng/L
R5.6月検査 94 ng/L~310 ng/L
用途:ペットポトル、[ ]
※水道水の暫定目標値:PFOS及びPFOAの合計値で50ng/L- これを踏まえ令和5 年6 月に事業者に対策を要請したが対応に時間を要したことから、11 月6 日に改めて以下の2点について文書で要請した。
① 12月20日までに目標値以下へ低滅
②目標値以下へ低減できない場合は販売停止
〇措置の確認
① フィルターの性能確認
検出値が最も高かった2号井戸水を原水として、活性炭フィルター処理後に1ng/L未満となった水質検査データを確認。31Ong/L(R5.6)⇒1ng/L未満
② フィルターの設置確認
当該活性炭フィルターが水の供給ラインに取り付けられていることを確認.
③ フィルター設醤後の検査結果確認
活性炭フィルター設置後の水について検査を指示。12月22日に採水。
→令和6年1月11日に検査結果を確認し、目標値以下となっていることを確認した。兵庫県のミネラルウォーター製造・企業一覧。 神戸市には 「六甲の天然水 マロッ」の サン神戸ウォーターサプライ株式会社 しか無いようなのだが……。
六甲の天然水 マロッ。 ペットボトルの他にウォーターサーバーがあるのですね。
》 トピックス一覧 - プレスリリース (小学館)。 特別調査委員会による調査報告書公表および映像化指針策定のお知らせ (小学館, 6/3) がなぜか出てこないんだなあ。 直接アクセスすれば読めはするのですが。
》 Thunderbird 128.0 がリリースされた (mozillaZine, 7/14)。冒険者専用。
テスト目的での利用ではないユーザーは、現時点では Thunderbird 128 へ更新するべきではない。Thunderbird 128 は、thunderbird.net からの直接ダウンロードによってのみ提供され、Thunderbird 115 系列およびそれ以前からの自動アップグレードは行われない。今後リリースされるバージョンにおいて、自動アップグレードが行われる予定である。
こちらです: Oracle Critical Patch Update Advisory - July 202 (Oracle, 2024.07.16)
VirtualBox 7.0.20 (virtualbox.org, 2024.07.16)
Oracle Virtualization Risk Matrix (Oracle, 2024.07.16)。7.0.20 で 3 件のセキュリティ修正ありと。
Oracle Java SE Risk Matrix (Oracle, 2024.07.16)。7 件のセキュリティ修正ありと。 内 1 件は Oracle GraalVM for JDK にのみ影響。 iida さん情報ありがとうございます。
JDK Releases (java.com)。 22.0.2 / 21.0.4 / 17.0.12 / 11.0.24 / 8u421 ですか。
Java™ SE Development Kit 22.0.2 (JDK 22.0.2) (Oracle, 2024.07.16)
Java SE 21.0.4 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.07.16)
Java SE 17.0.12 - Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.07.16)
Java SE 11.0.24 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.07.16)
Java SE 8u421 Bundled Patch Release (BPR) - Bug Fixes and Updates (Oracle, 2024.07.16)
Download Liberica JDK (bell-sw.com)
Amazon Corretto (GitHub)
FUJITSU Network Edgiot GW1500
JVN#25583987 FUJITSU Network Edgiot GW1500におけるパストラバーサルの脆弱性 (JVN, 2024.07.16)。patch あり。
Wireshark
「Wireshark 4.2.6」「Wireshark 4.0.16」が公開 ~「Wireshark 3.6」は終了 (窓の杜, 2024.07.16)。wnpa-sec-2024-10 · SPRT dissector crash を修正。
- Wireshark 4.2.6 Release Notes (Wireshark, 2024.07.10)
- Wireshark 4.0.16 Release Notes (Wireshark, 2024.07.10)
Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)
Thunderbird 115.13.0 出ました。
Thunderbird 115.13.0 がリリースされた (mozillaZine, 2024.07.17)
Chrome 126.0.6478.182/183 (Windows / Mac) および 126.0.6478.182 (Linux) 公開。 10 件のセキュリティ修正を含む。 関連:
Chrome for Android Update (Google, 2024.07.16)。 Chrome 126 (126.0.6478.186) for Android。
》 NHK BSスペシャルを制作しました「境界の抵抗者たち 〜ミャンマーを追われた映像作家の記録〜」 (久保田徹 / change.org, 7/16)。7/18 23:25〜 放送予定。
》 VMware製品「OEM廃止」の衝撃、ブロードコムはNECなど国産勢を切り捨て (日経 xTECH, 7/16)
》 当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告 (ファーストリテイリング, 7/2)
》 「特定の人がデマの潮流を生み出していた」 ネットにはびこるヘイトの真偽を検証し、立ち向かう動きを追った (東京, 7/15)
》 介護保険証も「紙は廃止」へ? マイナカードと一体化を前提に厚労省部会で議論中 やっぱり不安の声が出ている (東京, 7/13)
》 特定秘密漏えい、裏金接待、カラ手当…こんな自衛隊で大丈夫か 膨れる予算、隊員のストレスもパンパンな内実 (東京, 7/12)
「組織にたまっていたストレスのマグマが一気に表面化した」と話すのは、神奈川県横須賀市の市民団体「ヨコスカ平和船団」の鈴木茂樹さん。2年前まで市内でタクシー運転手をしており、海自隊員や防衛大学校の学生から「勤務がきつい」「いじめてやった」「いじめられてる」といった言葉をよく耳にしたという。「軍備増強で業務が増える一方で、人員不足が慢性化している。ストレスがたまりやすい構造の中、上手に発散ができない結果なんでしょうね」元海上自衛官で軍事ライターの文谷数重氏は「国民の血税をないがしろにしかねない」として、潜水艦乗組員と川重の癒着疑惑を特に問題視する。
文谷氏によると、潜水艦は修理などの際にメーカーの工場に入り、乗組員はメーカー側の担当者と付きっきりで作業をする。「どこを修理するか、どの部品を交換するかはある程度、乗組員で決められるので、メーカーが慣習的にサービスを続けてきたのでは。潜水艦乗りは、石を抱かされても秘密を守る。口が堅く、フネ(自艦)のことは他の海上自衛官にも話さない。だから長い間続いたのでは」
》 スポーツドリンクと糖質 (大塚製薬 桜井政夫 / 農畜産業振興機構, 2010.10)
どのように水分補給をしたらよいかというと、日本体育協会では運動前には250~500ミリリットル、運動中には1時間あたり500~1,000ミリリットルを摂取目安量としています。また、飲みやすいものが薦められており、水温は5~15度で0.2%程度の食塩と4~8%程度の糖分を含んだものが適当とされています(表1)(*3)。
また、アメリカスポーツ医学会は、運動中には脱水量が体重の2%を越えないよう水分を摂取することを推奨しており、飲料には電解質と糖質を含んでいることがよいとしています(*4)。
糖質を含んだ飲料が推奨される理由としては、腸管での水分吸収を促進することが挙げられます。主要な糖質であるブドウ糖は、腸管内でナトリウムが同時にあると速やかに吸収されます。そしてそれらに引っ張られ水分も吸収されるというのがそのメカニズムです。
実際に、ブドウ糖だけ、あるいはナトリウムだけの溶液より、それら両方を含んだ溶液の方が水分の吸収が速いことが実験で明らかになっています(*5)。また、単糖であるブドウ糖に比べて、同じ糖質量であれば重合した(マルト)デキストリンの溶液では浸透圧が低くなるため水分吸収が速まりますし、ショ糖の溶液あるいはブドウ糖と果糖の混合溶液ではブドウ糖以外の糖の影響により水分吸収はさらに速まることも報告されています(*6)。
》 「PFAS漏れ事故は『非公表』で」アメリカの要求に日本は従い、国民に真実を隠した…政府関係者が経緯明かす (東京, 7/10)。隠蔽したのは岸田政権。
》 24人擁立のNHK党の得票数 全員合わせて何票とった?供託金はどうなる? トップはあの人と同姓の… (東京, 7/8)
》 沖縄米兵の性的暴行、県への連絡ルートが一切機能せず 日米の情報共有にも不備あったのに…改善しぶる政府 (東京, 7/12)
》 「想定超えた」KADOKAWAサイバー攻撃 多角経営の隙狙われたか (毎日, 7/10)
》 Pattern of Brain Damage Is Pervasive in Navy SEALs Who Died by Suicide (NYTimes, 6/30)。銃火器の発射時の衝撃が脳損傷の原因となっているらしい。 DeepL 訳:
これが最初でも最後でもない。過去10年間で、少なくとも12人のネイビーシールズ隊員が、在隊中あるいは退役直後に自殺している。ニューヨーク・タイムズ紙の調査によると、悲嘆に暮れる家族の草の根的な努力によって、8人の脳が研究室に届けられた。そして、慎重に分析した結果、研究者たちはそのひとつひとつに爆風による損傷を発見した。自殺で死亡したシールズ隊員の話は、エリート部隊における厄介なパターンを示している。
平均年齢は43歳。それぞれが何度も戦闘に参加しているが、敵の攻撃で負傷した者はいない。全員が何年もかけて、強力な兵器の数々を撃ち、飛行機から飛び降り、爆薬でドアを爆破し、水中に深く潜り、手と手で戦うことを学んできた。
彼らは長年にわたり、熟練の特殊オペレーターとしての専門知識と鋭い判断力を培ってきた。しかし、キャリアの後半になると、長年の度重なる爆風被爆の影響で、そのスキルは失われていった。
40歳前後になると、ほぼ全員が不眠や頭痛、記憶力や協調性の問題、抑うつ、混乱、そして時には激怒に悩まされるようになる。
》 Apple PayではEUの罰金回避 欧州でのNFCアクセス開放で (ITmedia, 7/12)
欧州委員会は、Appleが欧州圏で「tap and go(日本でのタッチ決済)」で使うNFC技術をサードパーティ開発者に開放し、Face ID認証などのiOS機能へのアクセスを可能にするという「法的拘束力のある」約束をしたと発表した。
》 ほぼA3サイズの「Starlink Mini」、全米で一般単体発売 月額50ドル (ITmedia, 7/12)
本体価格は599ドル (中略) Starlink Miniだけを購入することも可能になった。サブスクプランとしては、月額150ドルの「Mobile」か50ドルの単体プラン「Mini Roam」を選択できる (中略) 100W(20V/5A)対応のUSB-PD電源から直接電力を供給することもできる。
Firefox 128.0 / ESR 115.13.0 公開 (2024.07.10)
Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。
Firefox ESR Release Notes: 128.0esr (mozilla.org, 2024.07.09)
Firefox Release Calendar - Upcoming releases (whattrainisitnow.com), Firefox ESR 115 & 128 (whattrainisitnow.com)。 ESR 115 系列は 115.15 で終了のようです。
Tor Browser はまだ ESR 115 ベースですね。
New Release: Tor Browser 13.5.1 (Tor Blog, 2024.07.10)
Zoom
「Zoom」に最大深刻度「High」の脆弱性 ~最新版では修正済み (窓の杜, 2024.07.11)。多くは Windows 版の欠陥だが、macOS / Linux / Android / iOS 版にも欠陥がある (CVE-2024-39820、CVE-2024-27241)。最新版で修正済。
》 漏洩情報の拡散行為に対する措置ならびに刑事告訴等について (KADOKAWA, 7/10)。日に日におどろおどろしい文面になっていくなあ。
さらに、悪質性の高い情報拡散者に対しては、証拠保全の上、刑事告訴・刑事告発をはじめ法的措置の準備を進めております。法的対応を実際にやらないとわからない人達はいるだろうからなあ。
》 Zotacからユーザーの個人情報が漏洩。Web上から誰でも閲覧できる状態に。日本人にも影響 (ニッチなPCゲーマーの環境構築Z, 7/8)
》 Googleが「ダークウェブ レポート」を無料開放、誰でも自分の個人情報が売買されているか確認可能に (窓の杜, 7/8)
》 EU加盟国の初等中等教育におけるサイバーセキュリティ教育の事例紹介 (Internet Watch, 7/9)
》 中国のサイバー攻撃集団「APT40」に対する国際アドバイザリーに日本も署名、攻撃事例・対策を共有 (Internet Watch, 7/10)
》 豪雨災害が心配な季節、全国のハザードマップを流域単位で可視化~「YAMAP 流域地図」 (Internet Watch, 7/10)
Android
Androidの2024年7月セキュリティ更新が公表 ~最大深刻度は「Critical」 (窓の杜, 2024.07.08)
出ました。139 MS CVE + 4 non-MS CVE (NPS RADIUS, Intel, GitHub)。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET と Visual Studio CVE-2024-30105 CVE-2024-35264 CVE-2024-38081 CVE-2024-38095
- Active Directory Rights Management サービス CVE-2024-38517 CVE-2024-39684
- Active Directory フェデレーション サービス CVE-2024-38075
- Azure CycleCloud CVE-2024-38092
- Azure DevOps CVE-2024-35266 CVE-2024-35267
- Azure Kinect SDK CVE-2024-38086
- Azure Network Watcher CVE-2024-35261
- Intel CVE-2024-37985
- Microsoft Defender for IoT CVE-2024-38089
- Microsoft Dynamics CVE-2024-30061
- Microsoft Graphics コンポーネント CVE-2024-38051 CVE-2024-38079
- Microsoft Office CVE-2024-38021
- Microsoft Office Outlook CVE-2024-38020
- Microsoft Office SharePoint CVE-2024-32987 CVE-2024-38023 CVE-2024-38024 CVE-2024-38094
- Microsoft Stream サービス CVE-2024-38052 CVE-2024-38054 CVE-2024-38057
- Microsoft Windows Codecs Library CVE-2024-38055 CVE-2024-38056 CVE-2024-38060
- Microsoft WS-Discovery CVE-2024-38091
- Microsoft リモート デスクトップ ライセンス サービス CVE-2024-38071 CVE-2024-38072 CVE-2024-38073 CVE-2024-38074 CVE-2024-38077 CVE-2024-38099
- Microsoft 分散トランザクション コーディネーター CVE-2024-38049
- NDIS CVE-2024-38048
- NPS RADIUS サーバー CVE-2024-3596
- SQL Server CVE-2024-20701 CVE-2024-21303 CVE-2024-21308 CVE-2024-21317 CVE-2024-21331 CVE-2024-21332 CVE-2024-21333 CVE-2024-21335 CVE-2024-21373 CVE-2024-21398 CVE-2024-21414 CVE-2024-21415 CVE-2024-21425 CVE-2024-21428 CVE-2024-21449 CVE-2024-28928 CVE-2024-35256 CVE-2024-35271 CVE-2024-35272 CVE-2024-37318 CVE-2024-37319 CVE-2024-37320 CVE-2024-37321 CVE-2024-37322 CVE-2024-37323 CVE-2024-37324 CVE-2024-37326 CVE-2024-37327 CVE-2024-37328 CVE-2024-37329 CVE-2024-37330 CVE-2024-37331 CVE-2024-37332 CVE-2024-37333 CVE-2024-37334 CVE-2024-37336 CVE-2024-38087 CVE-2024-38088
- Windows BitLocker CVE-2024-38058
- Windows COM セッション CVE-2024-38100
- Windows CoreMessaging CVE-2024-21417
- Windows Cryptographic サービス CVE-2024-30098
- Windows DHCP サーバー CVE-2024-38044
- Windows Fax とスキャン サービス CVE-2024-38104
- Windows Image Acquisition CVE-2024-38022
- Windows iSCSI CVE-2024-35270
- Windows LockDown Policy (WLDP) CVE-2024-38070
- Windows MSHTML Platform CVE-2024-38112
- Windows MultiPoint Services CVE-2024-30013
- Windows NTLM CVE-2024-30081
- Windows PowerShell CVE-2024-38033 CVE-2024-38043 CVE-2024-38047
- Windows Remote Access Connection Manager CVE-2024-30071 CVE-2024-30079
- Windows Server バックアップ CVE-2024-38013
- Windows TCP/IP CVE-2024-38064
- Windows Themes CVE-2024-38030
- Windows Win32 カーネル サブシステム CVE-2024-38085
- Windows Win32K - ICOMP CVE-2024-38059
- Windows Win32K: GRFX CVE-2024-38066
- Windows インターネット接続の共有 (ICS) CVE-2024-38053 CVE-2024-38101 CVE-2024-38102 CVE-2024-38105
- Windows オンライン証明書状態プロトコル (OCSP) CVE-2024-38031 CVE-2024-38067 CVE-2024-38068
- Windows カーネル CVE-2024-38041
- Windows カーネルモード ドライバー CVE-2024-38062
- Windows セキュア ブート CVE-2024-26184 CVE-2024-28899 CVE-2024-37969 CVE-2024-37970 CVE-2024-37971 CVE-2024-37972 CVE-2024-37973 CVE-2024-37974 CVE-2024-37975 CVE-2024-37977 CVE-2024-37978 CVE-2024-37981 CVE-2024-37984 CVE-2024-37986 CVE-2024-37987 CVE-2024-37988 CVE-2024-37989 CVE-2024-38010 CVE-2024-38011 CVE-2024-38065
- Windows パフォーマンス モニター CVE-2024-38019 CVE-2024-38025 CVE-2024-38028
- Windows フィルタリング CVE-2024-38034
- Windows メッセージ キュー CVE-2024-38017
- Windows リモート デスクトップ CVE-2024-38015 CVE-2024-38076
- Windows ワークステーション サービス CVE-2024-38050
- Windows 登録エンジン CVE-2024-38069
- XBox Crypto Graphic Services CVE-2024-38032 CVE-2024-38078
- ライン プリンター デーモン (LPD) サービス CVE-2024-38027
- ロール: Active Directory 証明書サービス、Active Directory ドメイン サービス CVE-2024-38061
- ロール: Windows Hyper-V CVE-2024-38080
0-day は 4 件:
- 「悪用される可能性は低い」
.NET と Visual Studio のリモート コードが実行される脆弱性 CVE-2024-35264 (Microsoft, 2024.07.09)
Arm: CVE-2024-37985 独自のプリフェッチャーの体系的な識別と特性評価 CVE-2024-37985 (Microsoft, 2024.07.09)。ARM 版 Windows 11 バージョン 22H2 / 23H2 のみ
- 「悪用の事実を確認済み」
Windows MSHTML Platform Spoofing Vulnerability CVE-2024-38112 (Microsoft, 2024.07.09)。Windows 全般に広く影響を受ける。
詳細:
Resurrecting Internet Explorer: Threat Actors Using Zero-day Tricks in Internet Shortcut File to Lure Victims (CVE-2024-38112) (CheckPoint, 2024.07.09)。DeepL 訳:
私たちは、少なくとも1年間は野放し状態で活発に使用されてきた悪用トリックが、最新のWindows 10/11オペレーティング・システム上で動作することを確認した。攻撃グループVoid Banshee、ゾンビ化したInternet Explorerの脆弱性「CVE-2024-38112」を悪用してWindowsユーザにゼロデイ攻撃を仕掛ける (トレンドマイクロ セキュリティ blog, 2024.07.17)
Windows Hyper-V の特権の昇格の脆弱性 CVE-2024-38080 (Microsoft, 2024.07.09)。Windows 11 / Server 2022 のみ。
関連:
Microsoft Patch Tuesday July 2024 (SANS ISC, 2024.07.09)
2024年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (JPCERT/CC, 2024.07.10)
【Windows11】 WindowsUpdate 2024年7月 不具合情報 - セキュリティ更新プログラム KB5040442 (ニッチなPCゲーマーの環境構築Z, 2024.07.10)
【Windows10】 WindowsUpdate 2024年7月 不具合情報 - セキュリティ更新プログラム KB5040427 市松模様の不具合が修正された模様 (ニッチなPCゲーマーの環境構築Z, 2024.07.10)
2024.07.18 追記:
CVE-2024-38112 の関連としてトレンドマイクロ セキュリティ blog 記事を追加した。
攻撃グループVoid Banshee、ゾンビ化したInternet Explorerの脆弱性「CVE-2024-38112」を悪用してWindowsユーザにゼロデイ攻撃を仕掛ける (トレンドマイクロ セキュリティ blog, 2024.07.17)
Windows 11 22H2/23H2 用 patch に不具合。KIR (Known Issue Rollback) で対応。
Windows Update Agent APIに不具合。KB5039302 / KB5040442をインストールしたWindows11にて発生 (ニッチなPCゲーマーの環境構築Z, 2024.07.16)
出ました。
Firefox 128 がリリースされた (mozillaZine, 2024.07.10)
Firefox for Android 128 がリリースされた (mozillaZine, 2024.07.10)
2024.07.12 追記:
Firefox ESR 128.0 も出てました。 iida さん情報ありがとうございます。 mozillaZine 記事にも「延長サポート版である Firefox ESR もバージョン 128.0 にアップデートされているほか」とありましたね。
Firefox ESR Release Notes: 128.0esr (mozilla.org, 2024.07.09)
Firefox Release Calendar - Upcoming releases (whattrainisitnow.com), Firefox ESR 115 & 128 (whattrainisitnow.com)。 ESR 115 系列は 115.15 で終了のようです。
Tor Browser はまだ ESR 115 ベースですね。
New Release: Tor Browser 13.5.1 (Tor Blog, 2024.07.10)
2024.07.17 追記:
Thunderbird 115.13.0 出ました。
Thunderbird 115.13.0 がリリースされた (mozillaZine, 2024.07.17)
いずれも Windows / Mac 版に影響。 いずれも Priority: 3。
Security Update Available for Adobe InDesign | APSB24-48 (Adobe, 2024.07.09)。任意のコードの実行を招く Critical な欠陥 4 件を修正。
Security Updates Available for Adobe Premiere Pro | APSB24-46 (Adobe, 2024.07.09)。任意のコードの実行を招く Critical な欠陥 1 件を修正。
Security Updates Available for Adobe Bridge | APSB24-51 (Adobe, 2024.07.09)。任意のコードの実行を招く Critical な欠陥 1 件と メモリリークを招く Important な欠陥 1 件を修正。
》 米マイクロソフト、中国の社員にiPhone使用を要請 安全対策で (毎日, 7/9)。9月からだそうです。 Android はいろいろあるので iPhone 一択にしたということかな。 Windows Phone で、と言いたかったね。
》 都知事選投票「アッコにおまかせ!」誤情報は「アドリブ」だった TBS「予定していた内容ではありません」 (J-CAST / Yahoo, 7/8)。とりあえず、明日のアフ6で本人から報告があるだろう。
》 SAPジャパンの偽サイト「sapjp[.]com」に注意 過去に保有していたドメインを第三者が取得、なりすまし被害に (ITmedia, 7/9)。マジなニセサイトになっているので本当に駄目。
》 石丸現象とは何か 石丸伸二氏「165万票」の中身を独自データで分析する (米重克洋 / Yahoo, 7/8)。 YouTube 時代の B層、という感じがするんだよなあ。
関連:
石丸伸二氏、選挙ポスター代「未払い」で敗訴確定 最高裁が上告受理せず 広島・安芸高田市長選で業者へ依頼 (東京, 7/8)。お金をきちんとできない人は政治家になっちゃ駄目。
京大卒銀行員→安芸高田市長→都知事選2位に…石丸伸二氏(41)が「週刊文春」に明かしていた“ポスター未払い訴訟”への主張「非を認めて謝ってきたら全部払ってあげようと」 (文春オンライン / Yahoo, 7/8)。↓の「市政関係者」発言は「最高裁が上告受理せず」の前の状況であろう。
「ポスターを制作した印刷業者が、未払いの残金約73万円を請求して石丸氏を訴えた。石丸氏は、公費負担分の約35万円を代金とする合意があったとの主張ですが、業者が赤字になって請け負う理由は乏しいなどとして地裁、高裁で敗訴。最高裁に上告しています。判決文によれば、この印刷業者は石丸氏の妹の勤務先。妹の会社とくらい丸く収められないのか……との声も出ています」(同前)「パワハラ臭ぷんぷん」石丸伸二氏「本当に熟読されました?」とライターを逆質問…ラジオ番組での対応が“高圧的”と批判続出 (女性自身 / Yahoo, 7/8)。 安芸高田市長時代からこうなのですけどね。
取材不足 (twitter)。石丸伸二氏の件について詳しい。
》 What's new for Symantec Endpoint Protection 14.3 RU9? (broadcom, 6/22)
》 前県民局長が死亡 知事批判文書で処分 (神戸新聞, 7/8)。 兵庫県 斎藤知事「パワハラ」「おねだり」疑惑 を告発した方。「自死とみられる」。告発者を守れず自殺に追い込んでしまった事例がまた 1 つ。
関連: 【速報】知事の『パワハラ疑惑』告発の職員が死亡 「私の表現は行き過ぎたものだった」と兵庫・斎藤知事 自殺とみられ遺書残す 生前「後輩たちがのびのびと仕事できるように、県政が変わってほしい」と思い語る (カンテレ / Yahoo, 7/8)
》 ボーイング、司法取引で詐欺共謀罪認める方針 2度の墜落事故巡り (ロイター, 7/8)
ボーイングは墜落事故に絡むソフトウエア機能に関連して米連邦航空局(FAA)を欺こうとした共謀罪で罪を認める。
(中略)
司法省当局者によると、ボーイングは安全・コンプライアンス(法令順守)プログラム強化のため3年間で少なくとも4億5500万ドルを投資することにも同意した。司法省は法令順守を監視する第三者を任命する。
》 JAXA、2023年10月に発生したサイバー攻撃について説明。「未知のマルウェアが複数使用され、Microsoft 365に不正アクセス」 (Internet Watch, 7/8)、 JAXAにおいて発生した不正アクセスによる情報漏洩について (JAXA, 7/5)
昨年10月、外部機関からの通報に基づき、JAXAの業務用イントラネットの一部のサーバに対する不正アクセス(以下、「本インシデント」といいます)を認知しました。 (中略)
なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました(その中には、ゼロデイ攻撃によるものも含まれます)が、情報漏洩等の被害が発生していないことを確認しました。朝日の報道:
JAXAに複数回サイバー攻撃、機密流出か NASA、トヨタ情報も (朝日, 6/21)
不正侵入の痕跡が確認されたのは2023年6月と、24年に入ってからの複数回。調布航空宇宙センター内の研究用ネットワークや、JAXAの業務用ネットワークなどが狙われた。いずれも外部のインターネットから組織内ネットワークに接続するためのVPN(仮想専用線)装置の欠陥を突かれたという。JAXAサイバー攻撃、不正侵入1年で4回 対策後にスパコンも標的 (朝日, 7/6)
複数の関係者によると、情報流出の恐れは昨年6月に発生。(中略) JAXAは昨年10月に警察からの指摘で被害を把握し、新たな機器の導入など対策を取った。
しかし今年に入り、1月、4月、5月にそれぞれ不正アクセスが確認された。1月は業務ネットワーク、4月は地球観測基盤システム、5月はスーパーコンピューターネットワーク (中略)
4回とも侵入の手口は共通で、インターネットからJAXA内部のネットワークに接続する「VPN(仮想専用線)機器」をハッキングされた痕跡があった。いずれも異なるメーカーの機器で、それぞれの欠陥が悪用された。うち2回はメーカーが欠陥を公表する前に侵入された痕跡があり、高度な技術力を持ったハッカー集団の関与がうかがわれるという。
Google フォームにおいて
- 表示設定で「結果の概要を表示する」を有効に設定
- 「共同編集者」に「リンクを知っている全員」を設定
のいずれかを実施すると予期しない結果を招くという話。
ほかの人の回答を敢えて見せたい場合を除いて、以下の設定をおこないましょう。
1.「結果の概要を表示する」はオフに!
2.共同編集者は「リンクを知っている全員」ではなく「制限付き」に!後者の件については piyolog で詳細にまとめられている: Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた (piyolog, 2024.07.08)。 もしかすると Google 側で対処されたのかもしれないが、 そうだとしても「制限付き」にしておくのが吉だろう。
》 豊田市でも42万人分漏えいか 委託先・イセトーのランサムウェア被害、拡大続く (ITmedia, 7/4)。これもイセトーの件。 「本来は削除すべきだった情報をイセトーの担当者が削除しておらず、漏えいの可能性につながった」。
》 「KUMON」委託先事業者のランサムウェア被害により、会員と指導者の個人情報が漏えい (Internet Watch, 7/4)。これはイセトーの件だった。
》 強力な「WinGet」を親しみやすいGUIで ~「WingetUI」改め「UniGetUI」v3.1.0が公開 (窓の杜, 7/5)
》 法解釈の変更は「安倍政権の守護神」の「定年延長が目的」…黒川弘務元検事長をめぐる衝撃判決、その舞台裏 (東京, 7/3)。まさにアベ、法治よりも人治、の世界なんだよな。
法務省はこれまで「黒川氏個人のためではない」という姿勢を示してきたが、今回の判決は「(理由は)黒川氏の勤務延長しかあり得ない」と断じた。解釈変更の閣議決定は黒川氏の退官予定日のわずか7日前。対象が黒川氏に限られ、他の検察官への周知がなかった点も考慮された。
上脇氏が「大きな分岐点だった」と振り返るのが、元法務次官の辻裕教氏に対する昨年12月の証人尋問だ。「他の検察官への解釈変更の周知の有無を原告側が尋問した際、辻氏が『やっていません』と答えた。法解釈を一般化するのが行政の仕事だが、全く逆で、特定の人物のために動いていた事実が鮮明になった」関連
法務・検察自ら検証せよ/検事長定年延長と政権 (Web 東奥, 7/3)
主張 元検事長定年延長 「法の支配」の破壊が明らかに (赤旗, 7/3)
》 Starlinkで10拠点を接続!バッチリ使えます! (IIJ Engineers Blog, 7/4)
これまで工場エリア内にある事務所のインターネット環境は厳しく、都市部の事務所と同じような使い勝手の良いものではありませんでした。またプラントの建設などで新しい事務所を立ち上げる時などもインターネット接続環境の準備は大変だったそうです。
そこに登場したのがStarlink (中略) IIJも検証に協力するという形になりました。このVPNネットワークの特徴はなんといってもIPv6とフロートリンクを組み合わせる事で半固定のIPv6ネットワークでありながらIPsec VPNが構築できている事です。これですかね: IPv6 IPoE + フロートリンク (IIJ SEIL)
》 川崎重工の裏金接待疑惑 海上自衛隊を特別防衛監察へ 防衛相が指示 (朝日, 7/5)
》 川重、裏金作りは20年前からか 下請け6社を通じ年1億円超プール (朝日, 7/4)。なぜこれほど巨額の裏金が必要だったのか、よくわからないんだよなあ。
潜水艦の幹部自衛官から一般の乗組員まで多数の海自隊員に物品や商品券を購入して渡したり、飲食接待したりするために裏金が使われていたとみられる。裏金でゲーム機、家電… 希望リスト、浮かぶ海自の「たかりの構図」 (朝日, 7/4)
複数の関係者によると、各潜水艦の取りまとめ役が乗組員らの希望をリストにして川重の修繕部に連絡していたという。そのリストに基づき、修繕部や下請け企業が裏金を使って物品を購入した後、修繕部から各潜水艦の担当者にまとめて渡していたとみられる。「餓鬼」という言葉が浮かんでくるのだが。
》 京都商工会議所 延べ4万件情報漏えい 委託先のランサムウェア被害で (ITmedia, 7/3)。イセトーの件。
京商によると、6月5日に企業情報の漏洩の可能性があるとイセトー側から報告があったが、後日、情報漏洩はないと伝えられた。その後、同28日に同社が企業情報の流出を確認し、京商に報告したという。本家の方により詳しいタイムラインが: 業務委託先への不正アクセスによる企業情報の漏洩について (京都商工会議所, 7/2)
- 5月26日:
委託先がランサムウェア被害を認識- 6月 5日:
委託先より、本所が管理している企業情報の漏洩可能性があると報告を受ける。後日、委託先より、情報漏洩はないとの報告を受ける- 6月18日:
委託先が、リークサイトに顧客情報の一部が漏洩していることを確認- 6月28日:
委託先が、本所が管理している企業情報の漏洩を確認、報告を受ける- 現在:
本所にて、漏洩情報の特定作業中関連
ランサムウェア被害の発生について (イセトー, 5/29)。「現時点で、情報の漏洩は確認されておりません」
ランサムウェア被害の発生について(続報) (イセトー, 6/6)。「現時点での流出は確認されておりませんが、一部のお取引先様においては、個人情報の流出の恐れが判明しております」
ランサムウェア被害の発生について(続報2) (イセトー, 7/3)
2024年6月18日に攻撃者グループのリークサイトにおいて、当社から窃取されたと思われる情報のダウンロードURLの出現を確認いたしました。外部専門家とともに調査を行った結果、公開された情報は当社のサーバーから流出したものであること、また流出した情報の中には一部のお取引先様の顧客の個人情報が含まれていることが判明しました。
》 ダークウェブに自分の情報が漏れているか確認するGoogleの機能が無料に (PC Watch, 7/4)。「有料サービス「Google One」向けの機能「ダークウェブレポート」を7月下旬以降、Googleアカウントを持つすべてのユーザー向けに提供する」。
》 Pixel 6シリーズを工場出荷状態にリセットすると文鎮化する問題、Googleが回避手順を公開 (やじうま Watch, 7/4)
第201期 有価証券報告書に記載の税務調査における指摘事項について (川崎重工, 7/3)
① 当社神戸造船工場修繕部と取引先企業による架空取引の存在
② その架空取引により捻出した資金を使った金品や物品の購入および飲食
③ 上記②について当社従業員および潜水艦乗組員の関与があったとの疑い
(中略)
なお、本件に関連した防衛省への過大請求は、現時点では確認されておりません。潜水艦乗組員へ金品提供 防衛省、自衛隊員倫理法違反の疑いで調査 (朝日, 7/3)
川重、裏金で海自潜水艦部隊の物品多額負担か 大阪国税局が調査 (朝日, 7/3)
川重と自衛官の癒着なぜ生まれた 裏金十数億円から商品券や飲食代 (朝日, 7/4)
広報担当者によると、潜水艦の施工に必要な資材を供給する下請け会社と川重の間で架空取引が行われ、捻出された資金は2018~23年の会計年度で十数億円に上る。その資金で購入された金品や物品は「商品券やトルクレンチ、ワイヤロープ、ヘッドライト」などと説明。乗組員らとの飲食にも使われたという。川崎重工が架空取引 海自潜水艦の修理巡り 資金は隊員との飲食に (毎日, 7/3)
》 [gnutls-help] gnutls 3.8.6 (GnuPG.org, 7/3) が出ています。不具合修正と機能拡張だそうです。iida さん情報ありがとうございます。
Apache Tomcat
CVE-2024-34750 (NIST, 2024.07.03)。 Apache Tomcat 9 / 10 / 11 に欠陥。 HTTP/2 stream の処理において、過剰な HTTP ヘッダーを正しく処理できない場合がある。 Apache Tomcat 9.0.90 / 10.1.25 / 11.0.0-M21 で修正。
iida さん情報ありがとうございます。
Apache 2.4.60 が 2024.07.01 に出たばかりですが、さっそく 2.4.61 が出ました。iida さん情報ありがとうございます。
Apache 2.4.60 には複数のセキュリティ修正が含まれているのですが、 CVE-2024-38476 の修正に関する Note の部分
SECURITY: CVE-2024-38476: Apache HTTP Server may use exploitable/malicious backend application output to run local handlers via internal redirect (cve.mitre.org) Vulnerability in core of Apache HTTP Server 2.4.59 and earlier are vulnerably to information disclosure, SSRF or local script execution via backend applications whose response headers are malicious or exploitable.
Note: Some legacy uses of the 'AddType' directive to connect a request to a handler must be ported to 'AddHandler' after this fix.が問題視されたということなのか、Apache 2.4.61 の修正点はこの 1 点↓のみです。
SECURITY: CVE-2024-39884: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A regression in the core of Apache HTTP Server 2.4.60 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.61, which fixes this issue.結論としては、2.4.60 は飛ばして 2.4.61 にアップデートするのがよさそうです。 関連:
Topic: Regression Apache 2.4.60 - AddType and AddHandler (Apache Lounge, 2024.07.02)
AddType, AddHandler, SetHandlerの違い (senooken JP, 2019.06.01)
2024.07.18 追記:
Apache 2.4.62 が出ました。Apache 2.4.61 の修正も不十分だった模様です。
SECURITY: CVE-2024-40725: Apache HTTP Server: source code disclosure with handlers configured via AddType (cve.mitre.org) A partial fix for CVE-2024-39884 in the core of Apache HTTP Server 2.4.61 ignores some use of the legacy content-type based configuration of handlers. "AddType" and similar configuration, under some circumstances where files are requested indirectly, result in source code disclosure of local content. For example, PHP scripts may be served instead of interpreted.
Users are recommended to upgrade to version 2.4.62, which fixes this issue.あと CVE-2024-40898。 Windows 版のみ。
SECURITY: CVE-2024-40898: Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows (cve.mitre.org) SSRF in Apache HTTP Server on Windows with mod_rewrite in server/vhost context, allows to potentially leak NTML hashes to a malicious server via SSRF and malicious requests. Users are recommended to upgrade to version 2.4.62 which fixes this issue.
Credits: Smi1e (DBAPPSecurity Ltd.)関連: JVNVU#99133886 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート (JVN, 2024.07.18)
》 問題発生の「KB5039302」が配信を一時停止 ~Windows 11の2024年6月プレビューパッチ (窓の杜, 6/28)。配信停止になってたのか。
》 エレコムの指向性マイク付きヘッドセットに不具合、同等品交換/返金へ (PC Watch, 7/3)。HS-EP12SCBK。「ノイズが発生する不具合」。
》 数十年分相当の書き込み負荷テストで各社のSSDの信頼性を検証してみた (PC Watch, 6/26)
》 万博パビリオンの自前建設を断念…インドとイラン、簡易型へ (読売, 6/26)。 交通・地盤・工期に難ありの万博、 インドやイランのような地域大国にすら無理でした。
インドとイランが (中略) 「タイプX」に変更 (中略) パキスタン、ナイジェリア、アルメニアの3か国が (中略) 「タイプC」に変更関連: 大阪万博、「タイプA」パビリオン、インド、イランなど6カ国が撤退 「タイプX」移行で数十億円の負担増に「始まる前から終わってる」批判殺到 (FLASH / Yahoo, 6/26)
タイプAの建設を断念した国に対し、日本国際博覧会協会(万博協会)は、建設予定だった敷地の返却を求める方針だ。吉村知事は、空いたスペースを休憩所や芝生広場として活用する考えを示した。芝生広場! どんどんショボくなる。
》 米政府系サイトの常識を変えた「デザインシステム」革命 (MIT Technology Preview, 7/3)。 「米国には、公式のWebデザインシステムとカスタムフォントがある」。へぇ〜。
》 「生成」ではなく「模倣」、大手レコード会社提訴で音楽AIの未来に暗雲 (MIT Technology Preview, 7/2)、
主要なAI音楽スタートアップ、Suno(スーノ)とUdio(ユーディオ)の2社が6月24日、大手レコード会社から訴えられたのだ。ソニー・ミュージック、ワーナー・ミュージック・グループ、ユニバーサル・ミュージック・グループは、スーノとユーディオが著作権で保護された音楽を「ほとんど想像を絶するような規模で」訓練データに使用し、AIモデルが「本物の人間の音源クオリティを模倣した」楽曲を生成できるようにしたと主張している。音楽生成AIサービス「Suno」と「Udio」をソニー&ワーナー&ユニバーサルなどの音楽大手各社が著作権侵害で訴える (gigazine, 6/25) の件。まぁ実際そうなのだろうなあ。
OpenSSH 9.8 / 9.8p1 公開。 セキュリティ修正を含みます。iida さん情報ありがとうございます。
セキュリティ修正その1
1) Race condition in sshd(8)
A critical vulnerability in sshd(8) was present in Portable OpenSSH versions between 8.5p1 and 9.7p1 (inclusive) that may allow arbitrary code execution with root privileges.
Successful exploitation has been demonstrated on 32-bit Linux/glibc systems with ASLR. Under lab conditions, the attack requires on average 6-8 hours of continuous connections up to the maximum the server will accept. Exploitation on 64-bit systems is believed to be possible but has not been demonstrated at this time. It's likely that these attacks will be improved upon.
Exploitation on non-glibc systems is conceivable but has not been examined. Systems that lack ASLR or users of downstream Linux distributions that have modified OpenSSH to disable per-connection ASLR re-randomisation (yes - this is a thing, no - we don't understand why) may potentially have an easier path to exploitation. OpenBSD is not vulnerable.
We thank the Qualys Security Advisory Team for discovering, reporting and demonstrating exploitability of this problem, and for providing detailed feedback on additional mitigation measures.regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server (Qualys, 2024.07.01) の件。 OpenSSH 4.4p1 で直した個所を 8.5p1 で誤って削除してしまい 9.7p1 まで脆弱に。うっかり八兵衛 (死語) な話だが、 コードメンテナンスの難しさという話でもあるよなあ。 OpenSSH 9.8p1 で修正。 CVE-2024-6387。
関連:
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた (piyolog, 2024.07.02)
[2024-07-03 11:12 JST 更新] 脅威に関する情報: CVE-2024-6387 − OpenSSH における RegreSSHion の脆弱性 (unit42, 204.07.03)
現在の攻撃スコープ
この脆弱性の概念実証 (PoC) コードは存在しますが、2024 年 7 月 2 日現在、野生でのアクティビティは確認されていません。私たちはコードをテストしましたが、私たちのテスト環境ではこれは機能しないようでした。私たちは、この PoC を使って CVE-2024-6387 の脆弱性を悪用したリモート コード実行を実現できませんでした。セキュリティ修正その2
2) Logic error in ssh(1) ObscureKeystrokeTiming
In OpenSSH version 9.5 through 9.7 (inclusive), when connected to an OpenSSH server version 9.5 or later, a logic error in the ssh(1) ObscureKeystrokeTiming feature (on by default) rendered this feature ineffective - a passive observer could still detect which network packets contained real keystrokes when the countermeasure was active because both fake and real keystroke packets were being sent unconditionally.
This bug was found by Philippos Giavridis and also independently by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford of the University of Cambridge Computer Lab.
Worse, the unconditional sending of both fake and real keystroke packets broke another long-standing timing attack mitigation. Since OpenSSH 2.9.9 sshd(8) has sent fake keystoke echo packets for traffic received on TTYs in echo-off mode, such as when entering a password into su(8) or sudo(8). This bug rendered these fake keystroke echoes ineffective and could allow a passive observer of a SSH session to once again detect when echo was off and obtain fairly limited timing information about keystrokes in this situation (20ms granularity by default).
This additional implication of the bug was identified by Jacky Wei En Kung, Daniel Hugenroth and Alastair Beresford and we thank them for their detailed analysis.
This bug does not affect connections when ObscureKeystrokeTiming was disabled or sessions where no TTY was requested.OpenSSH 9.5 で追加された ObscureKeystrokeTiming 機能 (デフォルト ON) が、 OpenSSH sshd 9.5 以降に接続した場合には機能していなかった。 そればかりか、OpenSSH 2.9.9 sshd 以降に実装されている限定的な対抗策までもが破壊されていた。 OpenSSH 9.8 で修正。
非 Linux な方、regreSSHion 脆弱性は俺には関係ないと安心してちゃ駄目のようですよ。 (お前だよ! > 俺)
》 MUFG、法人用ネットバンキングでシステム障害 「月初めなのに勘弁して」などの声も (ITmedia, 7/1)。7/1 21:25 に復旧。
BizSTATION/MUFG Bizへログインができない事象は解消され、復旧いたしました(21:50時点) (MUFG, 7/1)
7月2日(火)の総合振込、給与振込の締切時限のお知らせ (MUFG, 7/2)。7/1 の余波。