FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-01:56 (2001-08-23) * tcp_wrappers PARANOID hostname checking does not work ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-01:56.tcp_wrappers From: FreeBSD Security Advisories Date: Thu, 23 Aug 2001 13:57:12 -0700 (PDT) Message-Id: <200108232057.f7NKvCO50877@freefall.freebsd.org> X-Sequence: announce-jp 807 を日本語訳したものです. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには, 原文を参照してください. 日本語訳および, ミラーサイト利用の詳細については, 文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください. [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-01:56 Security Advisory FreeBSD, Inc. トピック: tcp_wrappers PARANOID ホスト名チェックの機能不全問題 (tcp_wrappers PARANOID hostname checking does not work) 分類: core モジュール: tcp_wrappers 告知日: 2001-08-23 クレジット: Tony Finch 影響範囲: FreeBSD 4.1.1-RELEASE FreeBSD 4.2-RELEASE FreeBSD 4.3-RELEASE 修正日以前の FreeBSD 4.3-STABLE 修正日: 2001-07-04 20:18:11 UTC (FreeBSD 4.3-STABLE) 2001-07-04 20:18:54 UTC (RELENG_4_3) FreeBSD に固有か: Yes I. 背景 - Background FreeBSD has included Wietse Venema's tcp_wrappers since 3.2-RELEASE. tcp_wrappers allows one to add host-based ACLs to network applications, and additionally provides connection logging and some detection of DNS spoofing. FreeBSD には 3.2-RELEASE 以降, Wietse Venema 氏による tcp_wrappers が 含まれるようになっています. tcp_wrappers は, ネットワークアプリケーションへの ホストベースのアクセス制御リストの導入, 接続のログ記録, 簡易的な DNS 詐称検出などを実現します. II. 問題の詳細 - Problem Description The addition of a flawed check for a numeric result during reverse DNS lookup causes tcp_wrappers to skip some of its sanity checking of DNS results. These sanity checks are only enabled by the 'PARANOID' ACL option in the configuration file, and simply weaken the 'PARANOID' host checks to the level of assurance provided by the regular host ACLs. tcp_wrappers には DNS の逆引きで数値が返される場合のチェックに欠陥があり, DNS の名前解決結果における, ある特定の異常を検出しません. 検出されないのは設定ファイル中の 'PARANOID' アクセス制御リスト オプションでのみ有効化される異常検出機能で, 本来は偏執的 ('PARANOID') である ホストチェック機能が, 実際には通常のホストアクセス制御リストが 提供する水準 (訳注: PARANOID が指定されていない場合と同等) に弱められています. This vulnerability was corrected prior to the (forthcoming) release of FreeBSD 4.4-RELEASE. この問題によるセキュリティ上の弱点は, (公開予定の) FreeBSD 4.4-RELEASE の リリース前に修正されました. III. 影響範囲 - Impact An attacker that can influence the results of reverse DNS lookups can bypass certain tcp_wrappers PARANOID ACL restrictions by impersonating a trusted host. Such an attacker would need to be able to spoof reverse DNS lookups, or more simply the attacker may be the administrator of the DNS zone including the IP address of the remote host. DNS の逆引き結果を操作できる攻撃者は, 信頼できるホストを装うことで tcp_wrappers の PARANOID アクセス制御リストが実現するある種の制限を 回避することができます. この攻撃には, DNS の逆引きの詐称が可能である, あるいはより単純に, 攻撃者がリモートホストの IP アドレスを 含む DNS ゾーンの管理者であるといった状況が必要になります. IV. 回避方法 - Workaround None. 有効な回避方法はありません. V. 解決策 - Solution 次のいずれかに従ってください. 1) Upgrade your vulnerable FreeBSD system to 4.3-STABLE or the RELENG_4_3 security branch after the respective correction dates. 1) 弱点を持った FreeBSD システムを修正日以降の FreeBSD 4.3-STABLE もしくは RELENG_4_3 セキュリティブランチにアップグレードする. 2) 修正日以降の FreeBSD 4.x システムの場合: The following patche has been verified to apply to FreeBSD 4.2-RELEASE, 4.3-RELEASE and 4.3-STABLE dated prior to the correction date. This patch may or may not apply to older, unsupported releases of FreeBSD. この修正パッチは, FreeBSD 4.2-RELEASE, 4.3-RELEASE および 修正日以前の 4.3-STABLE に対して適用可能なことが確認されているものです. それよりも古いリリースやサポートされていない FreeBSD リリースに対しては これらの修正パッチが正しく適用できない可能性があります. Download the patch and the detached PGP signature from the following locations, and verify the signature using your PGP utility. 次の場所から修正パッチと PGP 署名をダウンロードし, PGP ユーティリティを使って PGP 署名を確認します. ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:56/tcp_wrappers.patch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-01:56/tcp_wrappers.patch.asc # cd /usr/src/ # patch -p < /path/to/patch # cd /usr/src/lib/libwrap # make depend && make all install One must also recompile any statically linked applications that link against libwrap.a. There are no such applications in the base system. また, libwrap.a と静的にリンクしているアプリケーションすべてを 再コンパイルする必要があります. FreeBSD ベースシステムには それに該当するアプリケーションは存在しません. 3) FreeBSD 4.3-RELEASE システムの場合: An experimental upgrade package is available for users who wish to provide testing and feedback on the binary upgrade process. This package may be installed on FreeBSD 4.3-RELEASE systems only, and is intended for use on systems for which source patching is not practical or convenient. 実験的なものですが, アップグレードパッケージが用意されています. これはバイナリアップグレード機能の試験および, それに対する意見を 提供していただけるユーザ向けのものです. このパッケージは FreeBSD 4.3-RELEASE システムにのみインストール可能で, ソースへ 修正パッチを適用することが現実的でなかったり, そうすることが ふさわしくないと考えられるシステムでの利用を考慮したものです. If you use the upgrade package, feedback (positive or negative) to security-officer@FreeBSD.org is requested so we can improve the process for future advisories. このアップグレードパッケージを利用する場合は, 将来のセキュリティ勧告を より良いものにするため, (肯定的・否定的のいずれであっても) security-officer@FreeBSD.org までご意見をお寄せください. During the installation procedure, backup copies are made of the files which are replaced by the package. These backup copies will be reinstalled if the package is removed, reverting the system to a pre-patched state. インストール処理の途中で, アップグレードパッケージは 置き換えるファイルのバックアップコピーを作成します. アップグレードパッケージが削除された時, このバックアップコピーは 再インストールされてシステムは修正パッチを適用する前の状態に戻ります. # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/packages/SA-01:56/security-patch-tcp_wrappers-01.56.tgz # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/packages/SA-01:56/security-patch-tcp_wrappers-01.56.tgz.asc PGP ユーティリティを使って PGP 署名を確認します. # pkg_add security-patch-tcp_wrappers-01.56.tgz VI. 修正の詳細 - Correction details The following list contains the $FreeBSD$ revision numbers of each file that was corrected, for the supported branches of FreeBSD. The $FreeBSD$ revision of installed sources can be examined using the ident(1) command. The patch provided above does not cause these revision numbers to be updated. 次の表は, 保守されている FreeBSD の各ブランチの修正されたファイルに 含まれる $FreeBSD$ リビジョン番号の一覧です. インストール済みソースファイルの $FreeBSD$ リビジョン番号は ident(1) コマンドを使うことで確認できます. [FreeBSD 4.3-STABLE] Revision Path 1.2.2.3 src/contrib/tcp_wrappers/socket.c リビジョン番号 パス名 1.2.2.3 src/contrib/tcp_wrappers/socket.c [RELENG_4_3] Revision Path 1.2.2.2.2.1 src/contrib/tcp_wrappers/socket.c リビジョン番号 パス名 1.2.2.2.2.1 src/contrib/tcp_wrappers/socket.c VII. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです. 過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています. ただし, 翻訳者および doc-jp は, その内容についていかなる保証も いたしませんのでご注意ください. 日本語訳についてのご意見, ご要望, お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします. この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します. ネットワークの混雑を緩和するため, まずはミラーサイトの利用を 考慮するようお願いします. 日本のミラーサイトを利用するには, http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に, ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に, それぞれ置き換えてください. 他の地域を含む, ミラーサイトに関する詳細は, http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています. $hrs: announce-jp/FreeBSD-SA/01:56,v 1.5 2001/09/24 19:07:01 hrs Exp $