FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-02:05 (2002-01-10) * pine port insecure URL handling [REVISED] ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Ports Security Advisory FreeBSD-SA-02:05.pine [REVISED] From: FreeBSD Security Advisories Date: Thu, 10 Jan 2002 09:14:40 -0800 (PST) Message-Id: <200201101714.g0AHEeL76685@freefall.freebsd.org> X-Sequence: announce-jp 901 を日本語訳したものです. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには, 原文を参照してください. 日本語訳および, ミラーサイト利用の詳細については, 文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください. [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-02:05 Security Advisory FreeBSD, Inc. トピック: pine の port に含まれる安全でない URL 処理の問題 [REVISED] (pine port insecure URL handling [REVISED]) 分類: ports モジュール: pine 告知日: 2002-01-04 改訂日: 2002-01-10 クレジット: zen-parse 影響範囲: 修正日以前の Ports Collection 修正日: 2001-10-05 08:41:39 UTC FreeBSD に固有か: NO 0. 改訂履歴 - Revision History v1.0 2002-01-04 初版公開 v1.1 2002-01-10 セキュリティ上の弱点を持ったバージョンと 「修正の詳細」の項の修正. I. 背景 - Background PINE はメールとニュースを読むためのアプリケーションの 1 つです. II. 問題の詳細 - Problem Description pine の port の pine-4.44 より前のバージョンには, メッセージに含まれる URL を適切に処理しません. PINE はメッセージに埋め込まれた URL に アクセスするためにウェブブラウザを自動的に起動させる機能がありますが, ウェブブラウザを起動するためのコマンドシェル引数に, その URL 中の メタキャラクタをエスケープせずに渡してしまっています. これはプログラムの バグが原因です. pine の port はデフォルトでインストールされるものではなく, 「FreeBSD システムの一部」を構成するものでもありません. それらは 6000 を越えるサードパーティ製アプリケーションがすぐに インストールできる形で収められている FreeBSD Ports Collection の一部です. この問題は FreeBSD 4.4 のリリース後に発見・修正されたため, FreeBSD 4.4 にはこの問題によるセキュリティ上の弱点が含まれています. FreeBSD では, このようなサードパーティ製アプリケーションのセキュリティ 問題に対して, 特に何かを主張することはありません (訳注: Ports Collection に 入っているからといって, FreeBSD の開発者たちがそのアプリケーションが 安全であると評価したわけではありません). ただし, セキュリティ問題に対して 大きな影響を持つような ports に対するセキュリティ監査を提供すべく, 現在努力中です. III. 影響範囲 - Impact 攻撃者は, シングルクォート ('') でくくられたコマンドを仕込んだ URL をメッセージに埋め込んで攻撃対象に送ることができます. 攻撃対象となったユーザがその URL を閲覧しようとした時, PINE は コマンドラインシェルを起動して, 攻撃者の意図したコマンドを そのユーザの権限で実行してしまいます. また, その URL は 危険であることを攻撃対象に悟られないように装うことが可能です. IV. 回避方法 - Workaround 1) pine の port/package がインストールされている場合は, それをシステムから削除します. V. 解決策 - Solution 1) Ports Collection 全体をアップグレードし pine の port を再構築する. 2) 古い (訳注: pine の) package をシステムから削除し, 修正日以降に作成された新しい package を以下の場所から 取得してインストールする. [i386] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/mail/pine-4.44.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/mail/pine-4.44.tgz [alpha] 現時点では alpha アーキテクチャ用の package は自動生成されていません. これは, 構築のためのマシンリソースが不足しているためです. 注意: 更新された package が提供されるまで, 数日かかる可能性があります. 3) pine の新しい port スケルトンを以下の場所からダウンロードし, それを使って port を再構築する. http://www.freebsd.org/ports/ 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使う. portcheckout の port は /usr/ports/devel/portcheckout にあります. また, portcheckout の package が以下の場所から入手可能です. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz VI. 修正の詳細 - Correction details 次の表は, 4.4-RELEASE 以降で今回修正された FreeBSD Ports Collection に含まれるファイルの $FreeBSD$ リビジョン番号です. パス名 リビジョン番号 - ------------------------------------------------------------------------- ports/mail/pine4/Makefile 1.61 ports/mail/pine4/distinfo 1.20 ports/mail/pine4/files/patch-aa 1.4 ports/mail/pine4/files/patch-ac 1.11 ports/mail/pine4/files/patch-af 1.12 ports/mail/pine4/files/patch-ai 1.11 ports/mail/pine4/files/patch-aj 1.5 ports/mail/pine4/files/patch-ak 1.6 ports/mail/pine4/files/patch-al 1.11 ports/mail/pine4/files/patch-am 1.6 ports/mail/pine4/files/patch-an 1.5 ports/mail/pine4/files/patch-ap 1.3 ports/mail/pine4/files/patch-at 1.6 ports/mail/pine4/files/patch-au 1.4 ports/mail/pine4/files/patch-ax 1.5 ports/mail/pine4/files/patch-az 1.3 ports/mail/pine4/files/patch-be 1.1 ports/mail/pine4/files/patch-bf 1.1 ports/mail/pine4/files/patch-bg 1.1 ports/mail/pine4/files/patch-reply.c 1.2 - ------------------------------------------------------------------------- A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです. 過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています. ただし, 翻訳者および doc-jp は, その内容についていかなる保証も いたしませんのでご注意ください. 日本語訳についてのご意見, ご要望, お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします. この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します. ネットワークの混雑を緩和するため, まずはミラーサイトの利用を 考慮するようお願いします. 日本のミラーサイトを利用するには, http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に, ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に, それぞれ置き換えてください. 他の地域を含む, ミラーサイトに関する詳細は, http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています. $hrs: announce-jp/FreeBSD-SA/02:05,v 1.7 2002/01/11 05:57:13 hrs Exp $