FreeBSD Daily Topics

2009年4月23日 セキュリティアドバイザリlibcとlibcryptに1件ずつ,Great Bay Software自社アプライアンスをFreeBSDへ移行でパフォーマンス向上

2009年4月23日

, , ,

この記事を読むのに必要な時間:およそ 1 分

links

Great Bay Software moves to FreeBSD

Great Bay Software Releases Beacon Endpoint ProfilerTM 3.0においてGreat Bay SoftwareがアプライアンスのOSをFreeBSDに全面移行させたと報告されています。FreeBSDに移行した理由としてパフォーマンスの高さ,安定性のよさ,ライセンスの扱いやすさなどがあげられています。FreeBSDに移行することで高いパフォーマンスの改善を実現できたようです。

security-advisory

FreeBSD-SA-09:08.openssl

FreeBSD-SA-09:08.opensslにおいてOpenSSLに脆弱性が発見されたと報告されています。ASN1_STRING_print_ex関数がプリントする前の段階でBMPStringおよびUniversalStringオブジェクトの長さを適切に検証できていないことがわかり,このため不適切な長さをもったBMPStringおよびUniversalStringをプリントしようとしたアプリケーションはクラッシュし,結果としてOpenSSLが不適切なメモリを差し示す可能性があることがわかったそうです。この脆弱性を利用されると攻撃者によってリモートアプリケーションのクラッシュが実施できる可能性があります。この脆弱性に対処するにはシステムを最新のセキュリティブランチにアップグレードするか,libcryptにパッチを当ててインストールする必要があります(i386など)。amd64を使っている場合には互換ライブラリについても更新する必要があるため,基本的にはシステムを作り直す必要があります。

FreeBSD-SA-09:07.libc

FreeBSD-SA-09:07.libcにおいて,libcに脆弱性があり,ローカルユーザから作業した場合にBerkeley DB 1.85データベースファイルに保持されているセンシティブなデータがリークされる可能性があると報告されています。この脆弱性に対処するにはシステムを最新のセキュリティブランチにアップグレードするか,libcにパッチを当ててインストールする必要があります(i386など)。amd64を使っている場合には互換ライブラリについても更新する必要があるため,基本的にはシステムを作り直す必要があります。

FreeBSDでは/etc/master.passwd,/etc/pwd.db,/etc/spwd.dbなどさまざまな場所でBerkeley DB 1.85データベースファイルを使っています。このデータベースを使うためのインターフェースがlibcに統合されているわけですが,アロケートされる段階でこのインターフェース部分のコードが適切に初期化されていないことがわかりました。これが原因となって今回の脆弱性ということになったようです。

, , ,

著者プロフィール

後藤大地(ごとうだいち)

ONGS Inc.代表取締役。FreeBSD committer。MYCOMジャーナルにおけるニュース執筆他,『改訂第二版 FreeBSDビギナーズバイブル』,『D言語パーフェクトガイド』,『UNIX本格マスター 基礎編~Linux&FreeBSDを使いこなすための第一歩~』など著書多数.

著書

  • UNIX本格マスター 基礎編 〜Linux&FreeBSDを使いこなすための第一歩〜

    UNIX本格マスター 基礎編 〜Linux&FreeBSDを使いこなすための第一歩〜

バックナンバー

FreeBSD Daily Topics

バックナンバー一覧

コメント

コメントの記入