FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-02:24.k5su (2002-05-20) * k5su utility does not honor `wheel' group ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-02:24.k5su From: FreeBSD Security Advisories Date: Mon, 20 May 2002 09:08:06 -0700 (PDT) Message-Id: <200205201608.g4KG86X23936@freefall.freebsd.org> X-Sequence: announce-jp xxx を日本語訳したものです。 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには、原文を参照してください。 日本語訳およびミラーサイト利用の詳細については、文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください。 [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-02:24.k5su Security Advisory The FreeBSD Project トピック: k5su ユーティリティが `wheel' グループを認識しない問題 (k5su utility does not honor `wheel' group) 分類: kerberos5 モジュール: kerberos5/usr.bin/k5su 告知日: 2002-05-20 クレジット: jmallet@FreeBSD.org 影響範囲: FreeBSD 4.4-RELEASE FreeBSD 4.5-RELEASE 修正日より前の FreeBSD-STABLE 修正日: 2002-05-15 12:51:30 UTC (RELENG_4) 2002-05-15 12:56:21 UTC (RELENG_4_5) 2002-05-15 13:04:00 UTC (RELENG_4_4) FreeBSD に固有か: YES I. 背景 - Background k5su ユーティリティは su(1) に似た SU ユーティリティの一つで、Kerberos 5 や ローカルの passwd(5) ファイルを使用した認証後に、ユーザ権限を切り替えるために使われます。 k5su は `krb5' 配布物の一部として、もしくは MAKE_KERBEROS5 変数を 設定してソースからシステムを構築した場合にインストールされます。 ただし、これらはいずれもデフォルトではありません (訳注: デフォルトでは krb5 配布物は インストールされず、MAKE_KERBEROS5 も設定されていません)。 II. 問題の詳細 - Problem Description BSD SU ユーティリティでは伝統的に、スーパユーザ権限が獲得できるユーザを `wheel' グループ (グループ ID 0) のユーザに制限しています。 しかし k5su ユーティリティはこの慣習を無視しており、ユーザが 正常に認証されていれば所属グループのチェックを行ないません。 また、k5su には su(1) の持つ機能のうち、パスワード有効期限のチェック、 ログインクラスの実装、ユーザのログインシェルが /etc/shells に 含まれているかどうかのチェックといった機能がありません。 III. 影響範囲 - Impact これは多くの BSD システム管理者の予想に反することですが、 `wheel' グループに所属しないユーザは、 k5su を使ってスーパユーザ権限を得ようと試みることが可能です。 ただし権限を実際に獲得するには root ユーザアカウントのパスワードを 知っているか、root ユーザアカウント用の Kerberos 5 `.k5login' アクセス制御リストに、明示的にエントリが書かれている必要があります。 IV. 解決策 - Solution k5su ユーティリティの set-user-ID ビットを削除してください。 # chmod u-s /usr/bin/k5su これにより、k5su は完全に無効化されます。 上記のような SU ユーティリティの制限が許容でき、SU ユーティリティに Kerberos 5 認証を使いたいというサイトでは、set-user-ID ビットを そのままにしても良いでしょう。修正日以降の FreeBSD (リリースが 予定されている 4.6-RELEASE を含む) で k5su のインストールを 行なった場合、デフォルトでは set-user-ID ビットが有効になりません。 make.conf(5) の ENABLE_SUID_K5SU オプションも参照してみてください。 VI. 修正の詳細 - Correction details 次の表は、今回修正された FreeBSD に含まれる各ファイルのリビジョン番号です。 パス名 リビジョン ブランチ - ------------------------------------------------------------------------- src/UPDATING RELENG_4 1.73.2.67 RELENG_4_5 1.73.2.50.2.12 RELENG_4_4 1.73.2.43.2.12 src/etc/defaults/make.conf RELENG_4 1.97.2.65 RELENG_4_5 1.97.2.59.2.1 RELENG_4_4 1.97.2.58.2.1 src/kerberos5/usr.bin/k5su/Makefile RELENG_4 1.73.2.67 RELENG_4_5 1.97.2.59.2.1 RELENG_4_4 1.1.2.2.2.1 src/share/man/man5/make.conf.5 RELENG_4 1.12.2.16 RELENG_4_5 1.12.2.12.2.1 RELENG_4_4 1.12.2.10.2.1 - ------------------------------------------------------------------------- A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです。過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています。 ただし翻訳者および doc-jp は、その内容についていかなる保証も いたしませんのでご注意ください。日本語訳についてのご意見、ご要望、 お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします。 この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します。 ネットワークの混雑を緩和するため、まずはミラーサイトの利用を 考慮するようお願いします。 日本のミラーサイトを利用するには、 http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に、 ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に、 それぞれ置き換えてください。 他の地域を含むミラーサイトに関する詳細は http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています。 $hrs: announce-jp/FreeBSD-SA/02:24,v 1.3 2002/07/26 04:19:35 hrs Exp $