第10日目:FreeBSDで9.2-BETA2とセキュリティPatchが公開されました

メールだけで簡単お申込みのレンタルサーバー!

ども、ども、▲(‘A`)/です。
ご無沙汰しておりました。

今回は簡単な更新になります。
FreeBSDのメーリングリストに登録されている人たちは
今朝方2通メールが届いて既にご存知だと思いますが、
セキュリティアドバイザー(SA)の知らせが2件あります。

1つ目はBindです。又かと思われるかもしれませんが・・・
今回は「BIND remote denial of service」という件名で
やってきました。「denial of service」というのは
『Dos攻撃』の意味です。

ちゃんと書くと「Denial of Service attack」というのが
正式ですが、大抵はattackを省略して書かれたりします。
で似たような言葉がDDos攻撃というのがありますが、
先頭のDはDistributed(分散型)になります。

今回はどうやら問い合わせ処理の不具合が元で最悪
Bindデーモン(named)が異常終了するそうです。
遠隔でそういう不具合を引き起こす問い合わせをされれば
Dos攻撃と同じ状況になる訳です。

詳しくはJPRSの下記のページをご覧頂くと判ります。
http://jprs.jp/tech/security/2013-07-27-bind9-vuln-malformed-rdata.html

で、FreeBSDの本家では対処法を下記のページで解説しています。
http://www.freebsd.org/security/advisories/FreeBSD-SA-13:07.bind.asc

2つ目はNFSサーバについてです。
今回のSAのタイトルが「Incorrect privilege validation in the NFS server」
というものでした。
「incorrect privilege validation」って何だろう?と思うかもしれませんね。
各単語の意味を調べてみてください。
privilegeは特権を、validationは確認・認証を意味します。 in the NFS server
incorrectは間違ったという意味です。これらを組み合わせると
全体の意味はなんとなく掴めたでしょうか?
「NFSサーバにおける、間違った特権確認(又は特権認証)」という風になります。

これでも何を言っているか判らないかもしれないので、次はNFSに
ついて調べてみてください。
NFSとは「Network File System」の事を指します。

今回の場合には遠隔でNFSクライアントからのデータアクセス要求で
本来だとアクセスできないデータに対してrootユーザの様な特権ユーザと
間違えて認証されてしまう不具合がある、という事です。
本当だとアクセスが認められないユーザである者がデータに触れられて
しまう事象が起きてしまうという事です。
これは怖いですねえ・・・

で、FreeBSDの本家では対処法を下記のページで解説しています。
http://www.freebsd.org/security/advisories/FreeBSD-SA-13:08.nfsserver.asc

今回の2件のSAに関してはFreeBSDの各バージョンが対象となります。

1つ目(Bind)
FreeBSD 8.4、9.1

2つ目(NFS server)
FreeBSD 8.3、9.1

それと、遅くなりましたが現在開発中の9.2系にも適用されます。
ちなみに9.2系はsvnサーバ上では9.2-BETA2が既に存在しています。
まだインストール用のISOやmemstickイメージは公開されていませんが
subversionでのソース取得とカーネル再構築を行えば9.2-BETA2が
利用可能です。

http://svnweb.freebsd.org/base/stable/9/sys/conf/newvers.sh?view=log
Modified Fri Jul 26 23:41:22 2013 UTC
Update stable/9 branch to -BETA2 status.

今日はここまでにします。
札幌はあいにくの雨模様です。風もひんやりしています。
ただ、ちびっ子達は夏休みに入ったので元気です。
(親は動物園とかヒーローショーなどの催し物とかへ
つき合わされて大変そうですが・・・)
それでは、また!▲(‘A`)/