FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-01:61 (2001-10-08) * Squid in accelerator-only mode ignores ACLs ============================================================================= このメールは, announce-jp に流れた Subject: FreeBSD Ports Security Advisory FreeBSD-SA-01:61.squid From: FreeBSD Security Advisories Date: Mon, 8 Oct 2001 14:08:01 -0700 (PDT) Message-Id: <200110082108.f98L81B93103@freefall.freebsd.org> X-Sequence: announce-jp 835 を日本語訳したものです. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには, 原文を参照してください. 日本語訳および, ミラーサイト利用の詳細については, 文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください. [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-01:61 Security Advisory FreeBSD, Inc. トピック: squid の accelerator-only モードにおける ACL の機能不全 (Squid in accelerator-only mode ignores ACLs) 分類: ports モジュール: squid22, squid23, squid24 告知日: 2001-10-08 クレジット: Paul Nasrat 影響範囲: 修正日以前の Ports Collection 修正日: 2001-07-29 12:29:00 (squid23) 2001-08-28 16:48:35 2001 UTC (squid24) FreeBSD に固有か: NO I. 背景 - Background Squid Internet Object Cache は, ウェブプロキシ/キャッシュ用の ソフトウェアです. II. 問題の詳細 - Problem Description squid が accelaration-only モードに設定されている (http_accel_host が セットされ, http_accel_with_proxy がオフ) 場合, ソフトウェアのバグが 原因でアクセス制御リスト (ACL) が機能しません. III. 影響範囲 - Impact リモートの攻撃者は squid サーバを使い, 本来アクセスできない ホストに対する要求を発行できる可能性があります. squid サーバは それらの要求を HTTP 要求として処理するため, 攻撃者は任意のデータを 送受信できるわけではありませんが, squid の応答を利用して 対象ホストの特定ポートがオープンであるかどうか調べることは可能だと 思われます. つまり, squid サーバがポートスキャン攻撃の土台として 使われる危険性がある, ということです. IV. 回避方法 - Workaround 1) squid を acceleration-only モードで実行してはいけません. 2) squid の port/package がインストールされている場合は, それをシステムから削除します. V. 解決策 - Solution squid-2.3_1 およびそれ以降の 2.3 系列, squid-2.4_5 および それ以降の 2.4 系列の port は, 上記の問題点が修正されています. squid-2.3, squid-2.2 の ports はすでに Ports Collection から 削除されており, できるだけ早く squid-2.4 にアップグレードすることが 推奨されています. [訳注: 次のいずれかに従ってください.] 1) Ports Collection 全体をアップグレードし, squid の port を再構築します. 2) 古い (訳注: squid の) package をシステムから削除し, 修正日以降に作成された新しい package を以下の場所から取得して インストールします. [i386] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/squid-2.3_1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/squid-2.4_5.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/squid-2.3_1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/squid-2.4_5.tgz [alpha] 構築のためのマシンリソースが不足しているため, 現時点では alpha アーキテクチャ用の package は自動生成されていません. 3) squid の新しい port スケルトンを以下の場所からダウンロードし, それらを使って port を再構築します. http://www.freebsd.org/ports/ 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使います. portcheckout の port は /usr/ports/devel/portcheckout にあります. また, portcheckout の package が以下の場所から入手可能です. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz VI. 修正の詳細 - Correction details 次の表は, FreeBSD Ports Collection において修正された 各ファイルのリビジョン番号の一覧です. 影響を受ける port パス名 リビジョン番号 - ------------------------------------------------------------------------- squid22 *修正されていません* squid23 ports/www/squid23/Makefile 1.78 ports/www/squid23/distinfo 1.57 squid24 ports/www/squid24/Makefile 1.84 ports/www/squid24/distinfo 1.61 - ------------------------------------------------------------------------- VII. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです. 過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています. ただし, 翻訳者および doc-jp は, その内容についていかなる保証も いたしませんのでご注意ください. 日本語訳についてのご意見, ご要望, お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします. この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します. ネットワークの混雑を緩和するため, まずはミラーサイトの利用を 考慮するようお願いします. 日本のミラーサイトを利用するには, http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に, ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に, それぞれ置き換えてください. 他の地域を含む, ミラーサイトに関する詳細は, http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています. $hrs: announce-jp/FreeBSD-SA/01:61,v 1.3 2001/11/18 20:16:12 hrs Exp $