NetBSD: 3件のセキュリティアドバイザリ
ストーリー by Oliver
security-week 部門より
security-week 部門より
BSD 曰く、 "NetBSDより3件のセキュリティアドバイザリが出されている。
-
sshd 中の境界を越えた memset
どれくらい重大な結果を招くかは不明であるが、OpenSSH とこの問題の修正について協議しているようである。sshd は実行時に root 特権の分離を行い、セキュリティ攻撃の影響を緩和するように設定されているが、これがバッファ管理の問題で動作が妨げられるようだ。この問題を暫定的に回避するには、sshd を停止する、sshd へのアクセスを/etc/hosts.allow 等で制限したり、周辺のルータで制限したりすることで可能である。今後、sshd にどのような対応がとられるか、注意をむけておく必要がある。 -
ibcs2 によるカーネル内メモリの情報漏れ
iBCS2 版の statfs(2) が必要以上のバッファを与えられて呼び出されると、その領域へ statfs(2) の結果以外のカーネル内のメモリ上のデータが書き込まれてしまうようだ。この中には、ファイルキャッシュ領域や端末バッファが含まれることがあり、例えばユーザが入力したパスワードが残っている場合も考えられる。COMPAT_IBCS2 のオプションを指定して作成されたカーネルを利用しているユーザは、すぐにパッチを適用すべきであろう -
sysctl(2) のパラメータチェックの不備
NULL ポインタの指定、ゾンビプロセスの指定、範囲外の値の指定等により、悪意のあるローカルユーザによってシステムが乗っ取られる可能性がある。カーネルを更新し、リブートする必要がある。
BSD 関係に次々とセキュリティ問題が指摘されている。十分に注意していく必要があると思う。"
NetBSD: 3件のセキュリティアドバイザリ More ログイン