BSD界隈四方山話

第5回 脆弱性・不具合とシステムアップデート

この記事を読むのに必要な時間:およそ 2.5 分

脆弱性・不具合とシステムアップデート

FreeBSDプロジェクトは,システムに不具合が発見された場合やセキュリティ脆弱性が見つかった場合などに,次の2つの報告を行います。

  • セキュリティアドバイザリ(Security Advisory,SA)RSS
  • エラッタ報告(Errata Notice, EN)RSS

セキュリティ脆弱性が発見された場合にはセキュリティアドバイザリが,不具合が見つかった場合にはエラッタ報告が発表されます。発表と同時に修正パッチやアップデートバイナリの提供が開始されることがほとんどです。FreeBSDシステムの管理者はこの報告を受けたらシステムのアップデートの実施を検討します。

システムアップデートの作業はFreeBSD 10.0-RELEASE以降,とても簡単なものになりました。もう9以前に行っていたアップデート作業の手順を忘れてしまった方も少なくないでしょう。

増加傾向を見せるセキュリティアドバイザリ発行件数

システムを運用するうえでとても大切なセキュリティアドバイナリですけれども,その件数の推移を見てみましょう。2000年にピークを迎えてから2007年にかけて件数が減少。以降は小康状態が続いていましたが,2014年に大きく増加しました。

図1 年別セキュリティアドバイザリ発行件数

図1 年別セキュリティアドバイザリ発行件数

2014年はセキュリティ脆弱性の当たり年でした。OpenSSLのセキュリティ脆弱性Heartbleedは関係者の間で衝撃的なデビューを飾り,その後もOpenSSLには次々と脆弱性が発見されました。Heartbleedを超えるものは出ないだろうといった雰囲気の中,今度はbashのセキュリティ脆弱性Shellshockが登場。加えてセキュリティ脆弱性はさまざまなソフトウェアで毎日のように発見されては発表されていますし,サーバ管理者を憂鬱にするのに充分過ぎる年だったといえます。

2015年も新年から元気です。1月にLinuxで広く採用されているglibcのセキュリティ脆弱性GHOSTが登場。3月にはSSL/TLSのセキュリティ脆弱性FREAKが報告され,つい先日,最新版となるHTTPなどに存在するセキュリティ脆弱性「Logjam」が登場しました。

こうした世界的な動きとFreeBSDのベースシステムにマージされているサードパーティ製のソフトウェアの脆弱性に相関性があるかはわかりませんが,セキュリティ脆弱性を積極的に発見して修正するという動きのようなものが活発になっているのは雰囲気として感じるところがあります。

執筆現在,2015年の分として発表されたセキュリティアドバイザリの件数は9件です。同様のペースでセキュリティアドバイザリが発行された場合,2014年ほどではないにせよ2007年以降の水準でみるとかなり多い数のセキュリティアドバイザリが発行されることになりそうです。

セキュリティアドバイザリを読もう

セキュリティアドバイザリには次の情報がまとまっています。英語が苦手な場合には,少なくとも影響を受けるバージョン(Affects)と修正されたバージョン(Corrected)には目を通して,該当している場合にはアップデートを適用してください。

  • アナウンス日
  • 影響を受けるバージョン(影響を受けるバージョンでもサポートが終了したバージョンは表示されません)
  • 修正されたバージョン
  • 対象のソフトウェアやプロトコルの簡単な説明
  • 脆弱性の説明やその影響
  • 一時的に脆弱性を回避する方法
  • 脆弱性を修正する方法

バイナリアップデートシステムであるFreeBSD Updateが登場するまでは,ソースコードにパッチを適用してシステムやカーネルを再構築する必要がありました。このため,報告されたセキュリティ脆弱性が運用しているシステムに該当しているかどうか調べ,該当している場合にのみ対処するといったことを行っていたと思います。

しかしFreeBSD 10.0-RELEASE以降,FreeBSD Updateでセキュリティ脆弱性が修正されたバージョンへ簡単にアップデートできるので,基本的にセキュリティアドバイザリやエラッタ報告が発行されたらシステムをアップデートするものだと考えておけばよいでしょう。

コメント

コメントの記入