FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-02:40.kadmind (2002-11-12) * Buffer overflow in kadmind daemon ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-02:40.kadmind From: FreeBSD Security Advisories Date: Tue, 12 Nov 2002 20:06:35 -0800 Message-Id: <200211130406.gAD46ZFu008072@freefall.freebsd.org> X-Sequence: announce-jp 1067 を日本語訳したものです。 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには、原文を参照してください。 日本語訳およびミラーサイト利用の詳細については、文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください。 [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-02:40.kadmind Security Advisory The FreeBSD Project トピック: kadmind デーモンにおけるバッファオーバフロー問題 (Buffer overflow in kadmind daemon) 分類: core, ports モジュール: crypto_heimdal, crypto_kerberosIV, heimdal, krb5 告知日: 2002-11-12 クレジット: Johan Danielsson , Sam Hartman , Love Hoernquist-Astrand , Tom Yu 影響範囲: FreeBSD 4.7-RELEASE を含む、それ以前のすべてのリリース 修正日: 2002-10-23 13:07:44 UTC (RELENG_4) 2002-10-23 13:21:32 UTC (RELENG_4_7) 2002-10-23 13:21:02 UTC (RELENG_4_6) 2002-10-23 13:20:19 UTC (RELENG_4_5) 2002-10-23 13:19:46 UTC (RELENG_4_4) 2002-10-24 02:52:00 UTC (RELENG_3) 2002-10-23 22:30:39 UTC (krb5 port, krb5-1.2.6_1) 2002-10-24 15:01:11 UTC (heimdal port, heimdal-0.5.1) FreeBSD に固有か: NO I. 背景 - Background KTH Kerberos 4 実装に含まれる Kerberos 4 管理サーバ kadmind は、 Kerberos 鍵配布センタ (KDC, Key Distribution Center) で実行され、 管理者に Kerberos データベースへのアクセスを提供します。 Heimdal Kerberos 5 実装に含まれる Kerberos 5 管理サーバ k5admind も 同様の機能を提供するもので、Kerberos 4 互換機能を備えています。 k5admind サーバは「krb5」配布物の一部として、もしくは MAKE_KERBEROS5 オプションを指定してソースから再構築することで インストールされます。kadmind サーバは「krb4」配布物の一部として、 もしくは MAKE_KERBEROS4 オプションを指定してソースから再構築することで インストールされます。いずれもデフォルトではインストールされません。 Heimdal Kerberos 5 管理サーバは heimdal port (ports/security/heimdal) としても提供されています。MIT Kerberos 5 実装 (ports/security/krb5) にも Kerberos 5 管理サーバが含まれています。MIT Kerberos 5 管理サーバの 名前は「kadmind」です。 II. 問題の詳細 - Problem Description Kerberos 4 管理サーバ kadmind および、Kerberos 5 管理サーバ k5admind の Kerberos 4 互換層には、スタックオーバフロー問題があります。 III. 影響範囲 - Impact リモートの攻撃者は、k5admind もしくは kadmind に対して特殊な細工を施した リクエストを送ってスタックバッファのオーバフローを発生させるという手口で 管理サーバを悪用し、KDC 上の root 権限で任意のコードを実行させることが できる可能性があります。問題のバグを悪用する際、攻撃者は正規の認証を 必要としません。Kerberos データベースを盗み出した攻撃者は、 そのデータベース上のレルムに属するすべての Kerberos プリンシパルを 詐称することができるようになるため、KDC が危険に晒されることによる 影響は非常に深刻です。 重要: MIT セキュリティチームによると、このバグは実際に 広く悪用されているとのことです。 IV. 回避方法 - Workaround 次のいずれかに従ってください。 1) 以下を実行して kadmind および k5admind を無効にする。 /etc/rc.conf にある kadmind_server_enable (kadmind の場合) と kadmind5_server_enable (k5admind の場合) を、いずれも "NO" に 設定する。 /etc/inetd.conf を調べ、kadmin および k5admind の両方が inetd 経由で起動しないことを確認する。 次のコマンドを実行し、kadmind のサービスが稼働していないことを 確認する。 # ps axlwww | egrep 'kadmind|k5admind' kadmind もしくは k5admind が実行中なら、root 権限で次のコマンドを 実行して、それらを kill する。 # kill 2) heimdal と krb5 の port/package がインストールされている場合は、 それらを削除する。 V. 解決策 - Solution 次のいずれかに従ってください。 1) 弱点を持った FreeBSD システムを最新の 4.7-STABLE にアップグレードする。 あるいは、修正日以降の RELENG_4_7、RELENG_4_6、RELENG_4_5、 RELENG_4_4 セキュリティブランチのいずれかにアップグレードする。 2) 現在のシステムに修正パッチを適用する。 以下の修正パッチは、FreeBSD 4.4、FreeBSD 4.5、FreeBSD 4.6、 FreeBSD 4.7 の各システムに適用可能なことが確認されているものです。 a) 以下の場所から修正パッチをダウンロードし、PGP ユーティリティを使って PGP 署名を確認します。 # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:40/kadmin.patch # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:40/kadmin.patch.asc b) root 権限で次のコマンドを実行します。 # cd /usr/src # patch < /path/to/patch # cd /usr/src/kerberos5/libexec/k5admind # make depend && make all install # cd /usr/src/kerberosIV/usr.sbin/kadmind # make depend && make all install (訳注: /path/to/patch の部分は修正パッチのパス名に置き換えてください) 「heimdal」もしくは「krb5」の port/package がインストール されている場合は、次のいずれかに従ってください。 1) Ports Collection 全体をアップグレードし、heimdal もしくは krb5 の port を再構築する。 2) heimdal もしくは krb5 の新しい port スケルトンを 以下の場所からダウンロードし、それらを使って port を再構築する。 http://www.freebsd.org/ports/ 3) 上記 (2) の操作を自動的に行なう portcheckout ユーティリティを使う。 portcheckout の port は /usr/ports/devel/portcheckout にあります。 また、portcheckout の package が以下の場所から入手可能です。 ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/Latest/portcheckout.tgz VI. 修正の詳細 - Correction details FreeBSD において今回修正された各ファイルのリビジョン番号は、以下のとおりです。 パス名 リビジョン ブランチ - ------------------------------------------------------------------------- src/crypto/heimdal/kadmin/version4.c RELENG_4 1.1.1.1.2.4 RELENG_4_7 1.1.1.1.2.3.2.1 RELENG_4_6 1.1.1.1.2.1.8.1 RELENG_4_5 1.1.1.1.2.1.6.1 RELENG_4_4 1.1.1.1.2.1.4.1 src/crypto/kerberosIV/kadmin/kadm_ser_wrap.c RELENG_4 1.1.1.3.2.1 RELENG_4_7 1.1.1.3.12.1 RELENG_4_6 1.1.1.3.10.1 RELENG_4_5 1.1.1.3.8.1 RELENG_4_4 1.1.1.3.6.1 src/kerberosIV/include/version.h RELENG_4 1.3.2.1 RELENG_4_7 1.3.12.1 RELENG_4_6 1.3.10.1 RELENG_4_5 1.3.8.1 RELENG_4_4 1.3.6.1 src/kerberos5/include/version.h RELENG_4 1.2.2.6 RELENG_4_7 1.2.2.5.2.1 RELENG_4_6 1.2.2.3.2.1 RELENG_4_5 1.2.2.2.4.1 RELENG_4_4 1.2.2.2.2.1 - ------------------------------------------------------------------------- FreeBSD Ports Collection に含まれる Heimdal Kerberos 5 と MIT Kerberos 5 において、問題が修正されている最も若い バージョン番号は以下のとおりです。 ports/security/heimdal heimdal-0.5.1 ports/security/krb5 krb5-1.2.6_1 VII. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです。過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています。 ただし翻訳者および doc-jp は、その内容についていかなる保証も いたしませんのでご注意ください。日本語訳についてのご意見、ご要望、 お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします。 この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します。 ネットワークの混雑を緩和するため、まずはミラーサイトの利用を 考慮するようお願いします。 日本のミラーサイトを利用するには、 http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に、 ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に、 それぞれ置き換えてください。 他の地域を含むミラーサイトに関する詳細は http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています。 $hrs: announce-jp/FreeBSD-SA/02:40,v 1.5 2002/11/21 23:49:34 hrs Exp $