Heimdal Kerberos実装にセキュリティ脆弱性

Heimdal Kerberos実装にセキュリティ脆弱性(CVE-2017-11103)が存在しているため，これを修正する旨のセキュリティアドバイザリが「FreeBSD-SA-17:05.heimdal - heimdal KDC-REP service name validation vulnerability」として公開されました。これはFreeBSDプロジェクトがサポートしているすべてのバージョンに影響があります。修正されたバージョンはそれぞれ次のとおりです。

• releng/11.0, 11.0-RELEASE-p11 (2017-07-12 08:07:36 UTC)
• releng/10.3, 10.3-RELEASE-p20 (2017-07-12 15:16:01 UTC)
• releng/11.1, 11.1-RC2-p1 (2017-07-12 08:07:16 UTC)
• releng/11.1, 11.1-RC1-p1 (2017-07-12 08:07:16 UTC)
• stable/11, 11.1-PRERELEASE (2017-07-12 07:26:07 UTC)
• stable/11, 11.1-BETA3-p1 (2017-07-12 07:26:07 UTC)
• stable/10, 10.3-STABLE (2017-07-12 07:26:07 UTC)

Heimdal KerberosはHeimdalによるKerberos実装系です。この実装の一部にバグが見つかったというもので，この脆弱性を利用されるとネットワークの制御権を持ったユーザによる中間者攻撃（Man-in-the-Middle; MITM）が可能になる危険性があるとされています。

このセキュリティ脆弱性を回避する一時的な方法は存在していないとされていますが，Kerberosはデフォルトでは無効になっていますので，明示的に有効にして使っているのなければこの脆弱性が利用されることはないということになります。

このセキュリティ脆弱性を修正するには，ソースコードを問題が修正されたバージョンへアップデートしてシステムを再構築するか，パッチを適用してシステムを再構築するか，amd64版またはi386版であればFreeBSD Update経由でアップデートを実施できます。FreeBSD Updateによるアップデートを実施する場合には「freebsd-update fetch; freebsd-update install; shutdown -r now」のように処理を行うことになります。

それぞれのバージョンにおける変更内容は次のURLで確認できます。

• releng/11.1
• releng/11.0
• stable/11
• releng/10.3
• stable/10

このセキュリティ脆弱性はFreeBSDに限ったものではなく，Heimdal Kerberosのものです。このため，FreeBSDと同様にHeimdal Kerberosを取り込んだソフトウェアでは同様のアップデートが必要になったものがあり，それぞれにセキュリティパッチの提供が開始されています。Sambaなどもこのセキュリティ脆弱性の影響を受けますので，セキュリティ脆弱性を修正したバージョンが公開されています。

なお，Kerberosを提供しているソフトウェアでもHeimdal以外の実装系を使っているものでは今回のセキュリティ脆弱性の影響は受けないものとみられます。

勉強会

第65回　8月24日（木）19:00～FreeBSD勉強会

内容は検討中（会場：ヴァル研究所 セミナールーム）です。登録はこちらから。

FreeBSD勉強会 発表者募集

FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合，@daichigotoまでメッセージをお願いします。1～2時間ほどの発表資料を作成していただき発表をお願いできればと思います。