FreeBSD Daily Topics

2009年1月8日7.1-RELEASE後のアクセス集中でFreeBSD Updateの動作がスローに、OpenSSLおよびlukemftpd(8)に脆弱性発覚

heads-up

FreeBSD Update and Portsnap

release - FreeBSD 7.1-RELEASE後でアクセスが集中したためか、FreeBSD UpdateやPortsnapによるPorts Collectionのアップデートがうまくいかないことがあったようです。データの取得に失敗しているようなメッセージが出力されていた場合は、時間を変えてトライしてみてください。

security-advisory

FreeBSD-SA-09:02.openssl

2009年1月7日(協定世界時⁠⁠、FreeBSDセキュリティアドバイザリFreeBSD-SA-09:02.opensslが公開されました。FreeBSD 7.1/7.0/6.4/6.3などサポートされているすべてのバージョンが影響を受けます。リリースされたばかりのFreeBSD 7.1-RELEASEも影響を受けますので、アップグレードに注意してください。

今回発見された脆弱性は特にDSAやECDSAベースの認証を実施している場合に問題となり、介入者攻撃を受ける可能性があります。RSAを使っている場合にはこの問題は発生しないため、一時的に問題を回避するにはDSAやECDSAベースの認証を使わずにRSAのみを提供することで実現できます。

FreeBSD-SA-09:01.lukemftpd

2009年1月7日(協定世界時⁠⁠、FreeBSDセキュリティアドバイザリFreeBSD-SA-09:01.lukemftpdが公開されました。OpenSSLの脆弱性と同じくFreeBSD 7.1/7.0/6.4/6.3などサポートされているすべてのバージョンが影響を受けます。リリースされたばかりのFreeBSD 7.1-RELEASEも影響を受けますので、アップグレードに注意してください。

今回lukemftpd(8)に発見されたセキュリティ上の脆弱性は、2008年12月23日(米国時間)FreeBSD-SA-08:12.ftpdとして発表されたものに似ています。FreeBSDのベースシステムにはlukemftpd(8)(/usr/libexec/lukemftpd)以外にもftpd(8)、sftp-server(8)、tftpd(8)など複数のFTPサーバが同梱されています。これらFTPサーバはデフォルトインストールでは無効になっているため、明示的に動作させている場合でなければ問題はこれら問題はおこりません。

おすすめ記事

記事・ニュース一覧