FreeBSD Daily Topics
2009年6月16日 セキュリティアドバイザリ3件 FreeBSD-SA-09:11.ntpd,FreeBSD-SA-09:10.ipv6,FreeBSD-SA-09:09.pipe
security-advisory
- FreeBSD-SA-09:11.
ntpd ntpd(8)にスタックベースのバッファオーバーフロー脆弱性問題があることがFreeBSD-SA-09:11.
ntpd で報告されました。ntpd(8)はNetwork Time Protocolのデーモン実装ですが,
'autokey'セキュリティモデルを使うように設定されている場合にスタックベースのバッファオーバーフローが発生しやすい傾向にあることがわかったと説明されています。この脆弱性を利用されると任意のコードを実行されたりサービスデーモンのクラッシュ, DoS攻撃といった問題につながる可能性がありるとされています。最新のセキュリティブランチに更新するか, パッチをあててntpd(8)を作り直し, ntpd(8)デーモンを再起動することで対処できます。 ntpd(8)はデフォルトでは無効になっているデーモンですので,
動作していない場合にはこの問題の影響は受けません。 - FreeBSD-SA-09:10.
ipv6 SIOCSIFINFO_
IN6 ioctlのパーミッションチェックに問題があることがFreeBSD-SA-09:10. ipv6 で報告されています。パーミッションチェックが抜けていた部分があったため,一般ユーザ, スーパーユーザ, Jailの内外に関わらず, インターフェースの無効化やリンクMTUの変更など, IPv6インターフェースプロティの変更が可能になってしまうようです。この問題に対処するには最新のセキュリティブランチに更新するか, パッチを当ててカーネルを再構築し, システムを再起動する必要があると説明されています。 - FreeBSD-SA-09:09.
pipe FreeBSD-SA-09:09.
pipe にてパイプ処理に問題があったことが報告されています。パイプライン処理は最もよく使われる機能の1つで,FreeBSDの実装は"direct writes"で知られている方法で最適化されています。write(2)/read(2)経由で一旦カーネルにデータをコピーすることなく, 仮想メモリマッピングを利用してプロセス間で直接データがコピーする方法です。 このデータが含められているページを経産する段階で整数オーバーフローがあることがわかり,
結果として一般ユーザがカーネルやほかのプロセスの内容を得られることになります。ローカルにアクセスできるユーザはこの脆弱性をつくことが可能ですので, 迅速に対処したほうがよさそうです。この問題に対処するには最新のセキュリティブランチに更新するか, パッチを当ててカーネルを再構築し, システムを再起動する必要です。
バックナンバー
FreeBSD Daily Topics
- 2009年6月29日 FreeBSD 7.2に3つのセキュリティアドバイザリ(マルチスレッドプロセスからのfork(2)でデッドロックの可能性,fxp(4)で性能劣化のケースあり,bce(4)とlagg(4)組み合わせ不動作)他
- 2009年6月26日 802.11s無線メッシュネットワーク機能登場,VisualBasic.NET登場,Libusb 1.0サポート登場,Gstreamerプラグインアップデート方法]
- 2009年6月25日 FreeBSD/PC-BSDワークステーションiX-Apollo Extreme誕生,Mono 2.4登場,Flash10/f10パッチ,Generic FSマウントプロジェクト他
- 2009年6月22日 KSEライブラリスレッド(libpthread)の代わりにlibthrが使われるようにする方法,FreeBSD Foundation支援プロジェクト発表他
- 2009年6月18日 ≪注目≫VirtualBox Ports Collectionに登場 - インストール・設定・活用方法解説
- 2009年6月17日 Opera Unite登場,Firefox 3.0.11へアップグレード
- 2009年6月16日 セキュリティアドバイザリ3件 FreeBSD-SA-09:11.ntpd,FreeBSD-SA-09:10.ipv6,FreeBSD-SA-09:09.pipe
- 2009年6月15日 VirtualBox for FreeBSD!第6弾,Jail管理UIアプリWarden,カーネル&システム構築注意3件
- 2009年6月12日 gihyo.jp FreeBSD勉強会:第2回目6月18日(木)開催 募集開始
- 2009年6月9日 Python 2.6系デフォルトへ,Python 2.5系から2.6系へのアップグレード方法,DesktopBSD開発終了,FreeBSDプロジェクト開発者の動向