FreeBSD Security Advisoryから、2件のセキュリティに関する報告がアナウンスされている

FreeBSDからセキュリティに関する勧告が2件リリースされた。うち1件は今や”夏恒例”となったおなじみのBINDに関する脆弱性、もう1件はnfsserverに関する件だ。

影響を受けるFreeBSDのバージョンはFreeBSD 8.3、FreeBSD 9.0、FreeBSD 9.1の模様。

■BIND remote denial of service – The FreeBSD Project
http://www.freebsd.org/security/advisories/FreeBSD-SA-13:07.bind.asc

■Incorrect privilege validation in the NFS server – The FreeBSD Project
http://www.freebsd.org/security/advisories/FreeBSD-SA-13:08.nfsserver.asc

BINDの件の詳細はISCのSecurity Advisoryでもアナウンスされているが、不正なRDATAを含むよう細工されたDNSクエリーをnamed(8)が受け取った場合、不正なクエリを排除したnamed(8)がアサーションを出力してクラッシュするという問題のようだ。named(8)が停止するので不正なコードを実行されたりシステムを乗っ取られるなどの影響はないものの、サービスすなわち名前解決が中断されることになる。

なお以下のISCでのアナウンスによると、BIND 9.6、BIND 9.6-ESV、BIND 10には影響がないとしている。それ以前のBIND 9のバージョンについては「影響がないと信じているがテストはしていない」という心もとない説明がなされている。

■CVE-2013-4854: A specially crafted query can cause BIND to terminate abnormally – ISC
https://kb.isc.org/article/AA-01015

NFSサーバ(mountd(8))の件は、NFS exportの匿名ユーザの権限資格情報が記述され、同時に-networkもしくは-host制限が使われている場合、カーネルがexports(5)ファイルで設定されている情報をもとにせずにクライアントからの権限資格情報(credentials)を不適切に使用することが原因で起こると説明されている。これによりリモートユーザはNFSで共有されたファイルにアクセスする際、通常のアクセス検査をバイパスし特権資格を有する権限資格情報をサーバに与えることが可能となる。

当然ではあるが、NFSサーバをしていないシステム上では影響がない。NFSサーバをしているシステムの場合、-mapall(全ユーザが指定ユーザとしてアクセスすることができる)か-maproot(指定ユーザをroot権限でアクセスさせることができる)がさきの-networkや-host制限と組み合わせて使われている場合のみ影響があるようだ。

いずれの脆弱性もパッチがリリースされているので、システム運用者はソースにパッチを適用して再コンパイルするか、i386もしくはamd64系のFreeBSD-RELEASEであればfreebsd-updateでアップデートすることができるようだ。
当然だが、不要であればnamed(8)やmountd(8)のデーモンをただちに停止させることが望まれる。今一度管理範囲のサーバを確認されたい。

実践 FreeBSD サーバ構築・運用ガイドサーバ・インフラ構築・運用完全ガイド ~Linux/FreeBSD/Solaris/HP-UX/AIX/WindowsServerマルチ対応実践DNS DNSSEC時代のDNSの設定と運用よくわかるストレージネットワーキング

コメントを残す

メールアドレスが公開されることはありません。