パスワードを忘れた? アカウント作成
3286 story

NetBSDのlibcにリモートからのバッファオーバーランの危険性 (他UNIXも) 71

ストーリー by Oliver
あ~れ~ 部門より

who-am-i曰く、"Apache、OpenSSH と大物の入れ替え作業が続いていますが、今度は NetBSD の libc に リモートからバッファオーバーランの可能性 だそうです。 libc はもちろん、static link されているものの入れ替えも 必要ということだそうで、あちこちで悲鳴があがりそうな気が。
ちなみに 今月の Interface では NetBSD の安定性、移植性の良さを中心に組み込みシステムへのBSDの適用を特集している。これを機に国内ではいまいちマイナーなNetBSDも知名度アップ!?"

追記 (by O):どうやら*BSDだけでなく、BSD由来のリゾルバを使っているLinuxや他のUNIXも対象となるとか。UNIXじゃなくてもBSD由来のリゾルバを使っているOSは多そうなので、予想のつかない所にも飛び火しそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2002年06月27日 14時37分 (#114663)
    FreeBSD でも SA でてたし、Linux でも BSD由来のコード使ってれば同じかも?
  • 追記 (スコア:2, 参考になる)

    by who-am-i (2922) on 2002年06月27日 14時45分 (#114668)
    すでにご存知でしょうが、FreeBSD 始め、*BSD のあちこちで火が挙がり始めました。
    DNS のリゾルバ部分ということで、*BSD 以外にもあちこちで このコードが流用されている可能性もあり、結構大変な話かもしれません。
  • by SteppingWind (2654) on 2002年06月27日 14時55分 (#114675)

    通常, libcをスタティックリンクしてある実行ファイルって言うと/binや/sbinの下の, いわゆるシステムに含まれるコマンド群がほとんどですから, ほとんどルーチンワークの/usr/src下でのmake worldで対応できると思います. もちろん検証も必要ですが, それも従来の作業工数から大きく変わることは無いはずですし.

    pkg-src/portsで導入する外部アプリケーションについては, ほぼ全てダイナミックリンクですから, 極例外的な物のみを押さえておけばOKだと思います. と言うか, 実際にスタティックリンクの物って(自分でリンクオプションを設定する以外に)何か有りますかね?

    • packageとか、chrootしているサーバってないのですか?
      けっこういろいろかくれてましたし、chrootさせてました。
      また、クライアントすべてに影響するので悲鳴です。
      どうするか、悩んでいます。
  • OpenBSDでは、 (スコア:1, 参考になる)

    by Anonymous Coward on 2002年06月28日 5時27分 (#115067)
    DNSのレゾルバに潜在的なバッファオーバーフローが発見されました。

    ココ [openbsd.org]をクリックすれば、貴方は幸せになれるかも。

    6年近くもの間、初期インストールでのリモートセキュリティホールは一つだけでした。

    何か、空しいな、、、、
  • 買ってしまった... (スコア:0, オフトピック)

    by satsuki (5219) on 2002年06月27日 14時48分 (#114671) ホームページ 日記

    ちなみに今月のInterfaceではNetBSDの安定性、移植性の良さを中心に組み込みシステムへのBSDの適用を特集している。


    なかなか面白そうだったので買ってしまいました.
    今月はBSD MagazineとFreeBSD Pressもあるのに予定外の出費...
    Interfaceは千円しないのでまだよいのですが,学生には結構辛いです技術系雑誌の値段.
    一食抜きです.
    • そういう人は、原稿を書くと献本がもらえていいですよ :D
      • でもその場合だって、結局採用されなきゃ貰えないでしょ?
        # それ以前に原稿まとめられるだけの能力があるか、だけど
        • そういう場合は添付の葉書で意見を書くとよいかも。 Interface(というかCQ出版)の場合、読者の声欄に採用されると 500円分の図書券がもらえます。
  • by Anonymous Coward on 2002年06月28日 1時13分 (#115000)
    Linuxを使ってますが、glibc全体入れ換えは、ちょっと抵抗があります。

    そこで、ダイナミックリンクしているものに関しては、wrapper
    ライブラリを作成し、LD_PRELOADを設定することで回避できないか、
    と思ったのですが、このアイデア、どうでしょうか?
    • なぜglibc全体の入れ替えに抵抗あるのでしょうか?
      カーネルだけの入れ替えに抵抗ありますか?
      • 個人でつかっているPCに対してはまったく抵抗ないのですが、
        会社で使っているのが問題なんです。

        シミュレーションのデータ保存用にNFSでディスク共有していて、
        いま、負荷が高めなんでちょっと止めにくいんです。
        # 今週の日曜日あたりなら、いけそうですが、できれば避けたい。
        それよりなにより、前人者からの経緯でTurboLinux7WSを使っているの
        ですが、先日来のApacheでのゴタゴタを見るにつけ、メーカ提供の
        RPMをブチ込むのは、今はやりたく
        • > # ところで、抵抗感の理由って重要??
          どうなんだろうね。

          個人的には、2.4.* 系のカーネルへの移行に抵抗感があるので、
          未だに必要に応じて 2.2.20 を 3 分間 hacking して使ってます。

          だって、2.4.18 にした途端、ディスクが暴走しちゃったんだもん。
    • djbdnsの中のdnscacheというDNSキャッシュを使うのは対策にならないでしょうか?

      これが外とリゾルバの間に入っていれば、DJB作なのでバッファオーバーフローには気をつけているのでしょうから、悪意あるサーバからの返答もサニタイズされそうな気がするのですが……
      • by tix (7637) on 2002年06月28日 16時26分 (#115288) ホームページ
        CERT VU#803539 [cert.org] (Document Revision 28)によると、悪意のある DNS サーバからの応答を問題のない形に変えてくれるような DNS キャッシュサーバをローカルに立てれば、回避できるようです。

        ローカル DNS キャッシュサーバとして BIND 9 を使えば大丈夫、 BIND 8 はだめと書いてあります(BIND 8.3.3 を使ったらどうなんでしょう)。 djbdns については何も書いてありません。
        --
        鵜呑みにしてみる?
        親コメント
        • ローカル DNS キャッシュサーバとして BIND 9 を使えば大丈夫、 BIND 8 はだめと書いてあります(BIND 8.3.3 を使ったらどうなんでしょう)。
          と書きましたが、 bind9-users リストに流れたメール [theaimsgroup.com]によると、 BIND 8 では悪意のある DNS サーバからの応答の一部を素通しする仕様になっているらしいので、 DNS キャッシュサーバとして BIND 8 の最新版である BIND 8.3.3 を使ってもだめのようです。
          --
          鵜呑みにしてみる?
          親コメント
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...