FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-02:15 (2002-03-12) * cyrus-sasl library contains format string vulnerability ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Ports Security Advisory FreeBSD-SA-02:15.cyrus-sasl From: FreeBSD Security Advisories Date: Tue, 12 Mar 2002 06:27:58 -0800 (PST) Message-Id: <200203121427.g2CERwo64322@freefall.freebsd.org> X-Sequence: announce-jp 947 を日本語訳したものです。 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには、原文を参照してください。 日本語訳およミラーサイト利用の詳細については、文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください。 [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-02:15 Security Advisory FreeBSD, Inc. トピック: cyrus-sasl ライブラリにおける書式指定文字列に起因する セキュリティ上の弱点 (cyrus-sasl library contains format string vulnerability) 分類: ports モジュール: cyrus-sasl 告知日: 2002-03-12 クレジット: Kari Hurtta 影響範囲: cyrus-sasl-1.5.24_8 より前の cyrus-sasl port 修正日: 2001-12-09 03:07:36 UTC FreeBSD に固有か: NO CVE: CAN-2001-0869 I. 背景 - Background cyrus-SASL はコネクションベースのプロトコルに認証機能を追加する、 RFC 2222 SASL (Simple Authentication and Security Layer) の実装の一つです。 II. 問題の詳細 - Problem Description 影響を受けるバージョンの cyrus-sasl の port には、書式指定文字列に起因する セキュリティ上の弱点があります。この弱点は syslog(3) 関数の呼び出し時に 問題となります。 cyrus-sasl の port はデフォルトでインストールされるものではなく、 「FreeBSD システムの一部」を構成するものでもありません。 それらは数千個におよぶサードパーティ製アプリケーションがすぐに インストールできる形で収められている FreeBSD Ports Collection の一部です。 このセキュリティ上の弱点は FreeBSD 4.4 のリリース後に判明したもので、 FreeBSD 4.4 に収録された Ports Collection にも、この問題が含まれています. FreeBSD では、このようなサードパーティ製アプリケーションのセキュリティ 問題に対して、いかなる保証もしていません (訳注: Ports Collection に 入っているからといって FreeBSD の開発者たちがそのアプリケーションが 安全であると評価したわけではありません)。ただし、セキュリティ問題に対して 大きな影響を持つような ports に対するセキュリティ監査を提供すべく、 現在努力中です。 III. 影響範囲 - Impact 悪意を持ったリモートユーザは cyrus-sasl を使うアプリケーションを悪用し、 その cyrus-sasl を使うプロセスの権限で任意のコードを実行することが 可能です。この勧告の執筆時点では具体的な悪用方法は確認されておらず、 cyrus-sasl の作者は、このバグを悪用不可能なものであると考えています。 詳細については「参考資料」の節をご覧ください。 cyrus-sasl の port をインストールしていなければ、 システムにこの問題によるセキュリティ上の弱点はありません。 cyrus-sasl の port がインストールされているかどうかは、 次のコマンドを使うことで確認することができます。 # pkg_info -I cyrus-sasl-\* IV. 回避方法 - Workaround cyrus-sasl の port/package がインストールされている場合は、 それをシステムから削除します。 V. 解決策 - Solution 次のいずれかに従ってください。 1) Ports Collection 全体をアップグレードし cyrus-sasl の port を再構築する。 2) 古い (訳注: cyrus-sasl の) package をシステムから削除し、 修正日以降に作成された新しい package を以下の場所から 取得してインストールする。 [i386] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/security/ ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/security/ [alpha] 現時点では alpha アーキテクチャ用の package は自動生成されていません。 これは、構築のためのマシンリソースが不足しているためです。 3) cyrus-sasl の新しい port スケルトンを以下の場所からダウンロードし、 それを使って port を再構築する。 http://www.freebsd.org/ports/ 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使う。 portcheckout の port は /usr/ports/devel/portcheckout にあります。 また、portcheckout の package が以下の場所から入手可能です。 ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/Latest/portcheckout.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/Latest/portcheckout.tgz VI. 修正の詳細 - Correction details 次の表は FreeBSD Ports Collection に含まれる、 今回修正されたファイルの $FreeBSD$ リビジョン番号です。 パス名 リビジョン番号 - ------------------------------------------------------------------------- ports/security/cyrus-sasl/Makefile 1.30 ports/security/cyrus-sasl/files/patch-lib::common.c 1.1 - ------------------------------------------------------------------------- VII. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです。過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています。 ただし翻訳者および doc-jp は、その内容についていかなる保証も いたしませんのでご注意ください。日本語訳についてのご意見、ご要望、 お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします。 この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します。 ネットワークの混雑を緩和するため、まずはミラーサイトの利用を 考慮するようお願いします。 日本のミラーサイトを利用するには、 http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に、 ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に、 それぞれ置き換えてください。 他の地域を含むミラーサイトに関する詳細は http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています。 $hrs: announce-jp/FreeBSD-SA/02:15,v 1.3 2002/03/24 17:53:42 hrs Exp $