FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-04:08.heimdal (2004-05-05) * heimdal cross-realm trust vulnerability ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: [FreeBSD-Announce] From: FreeBSD Security Advisories Date: Wed, 5 May 2004 14:26:52 -0700 (PDT) Message-Id: <200405052126.i45LQqdL002517@freefall.freebsd.org> X-Sequence: announce-jp xxx を日本語訳したものです。 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックをおこなうには、原文を参照してください。 日本語訳およびミラーサイト利用の詳細については、文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください。 [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-04:08.heimdal Security Advisory The FreeBSD Project トピック: heimdal のレルム間信頼関係におけるセキュリティ上の弱点 (heimdal cross-realm trust vulnerability) 分類: core モジュール: crypto_heimdal 告知日: 2004-05-05 クレジット: Heimdal project 影響範囲: Kerberos 5 がインストールされた FreeBSD 4 FreeBSD 5 修正日: 2004-05-05 19:49:41 UTC (RELENG_4, 4.10-PRERELEASE) 2004-05-05 19:55:46 UTC (RELENG_5_2, 5.2.1-RELEASE-p6) 2004-05-05 20:48:19 UTC (RELENG_4_10, 4.10-RELEASE-RC) 2004-05-05 20:01:06 UTC (RELENG_4_9, 4.9-RELEASE-p6) 2004-05-05 20:06:30 UTC (RELENG_4_8, 4.8-RELEASE-p19) CVE Name: CAN-2004-0371 FreeBSD に固有か: NO For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit . 上記の項目やセキュリティブランチ、以下の各節ついての説明など、 FreeBSD セキュリティ勧告についての一般的な情報は、 をご覧ください。 I. 背景 - Background Heimdal implements the Kerberos 5 network authentication protocols. Principals (i.e. users and services) represented in Kerberos are grouped into separate, autonomous realms. Unidirectional or bidirectional trust relationships may be established between realms to allow the principals in one realm to recognize the authenticity of principals in another. These trust relationships may be transitive. An authentication path is the ordered list of realms (and therefore KDCs) that were involved in the authentication process. The authentication path is recorded in Kerberos tickets as the `transited' field. Heimdal は Kerberos 5 ネットワーク認証プロトコルの実装です。 Kerberos におけるプリンシパル (ユーザとサービスのこと) は、独立した 「レルム」という単位でグループ化されています。複数のレルムでは、 あるレルムに所属するプリンシパルの正当性を、他のレルムのプリンシパルを 使って確認できるようにする目的で、レルム間に単方向、 もしくは双方向の信頼関係を結ぶことができます。この信頼関係は 連鎖させることも可能です。ひとつの認証を実現する経路は、 その認証プロセスが関与する複数のレルム (つまり KDC) を 順番に並べたものになり、この経路は、Kerberos チケットの 「transited」というフィールドに記録されます [*]。 [*] 訳注: Kerberos チケットには「transited realms list」と呼ばれる 部分があり、レルム間認証をおこなった場合に、経由する 中間レルムのリストが記録されます。 It is possible for the Key Distribution Center (KDC) of a realm to forge part or all of the `transited' field. KDCs should validate this field before accepting authentication results, checking that each realm in the authentication path is trusted and that the path conforms to local policy. Applications are required to perform this type of checking if the KDC has not already done so. レルムを構成する鍵配布センタ (KDC; Key Distribution Center) は、 transited フィールドの一部、あるいはすべてを変更することが可能です。 そのため KDC は、認証結果を受け付ける前にこのフィールドの内容を検査して、 認証経路の各々のレルムと信頼関係が結ばれているかどうか、その経路が ローカルポリシと合致するかどうかについてチェックしなければなりません。 もし KDC がこのチェックをおこなっていないなら、アプリケーションが そのようなチェックおこなうことが不可欠です。 Prior to FreeBSD 5.1, Kerberos 5 was an optional component of FreeBSD, and was not installed by default. 5.1 より前の FreeBSD において、Kerberos 5 はオプションになっており、 デフォルトではインストールされません。 II. 問題の詳細 - Problem Description Some versions of Heimdal do not perform appropriate checking of the `transited' field. Heimdal のいくつかのバージョンでは、transited フィールドのチェックが 適切におこなわれていません。 III. 影響範囲 - Impact For sites that have established trust relationships with other realms, it is possible for the administrator(s) of those other realms to impersonate any Kerberos principal in any other realm. 他のレルムと信頼関係を結んでいる複数のサイトがあった場合、 あるレルムの管理者は、他のレルムにある、すべての Kerberos プリンシパルを 詐称することが可能です。 IV. 回避方法 - Workaround Disable all inter-realm trust relationships. The Heimdal advisory listed in the References section below provides details for checking for trust relationships and disabling them. レルム間の信頼関係をすべて無効にしてください。Heimdal セキュリティ勧告には、 信頼関係が結ばれているか調べ、それを無効にする方法の詳細が Reference の セクションに書かれています。 V. 解決策 - Solution Perform one of the following: 次のいずれかひとつに従ってください。 1) Upgrade your vulnerable system to 4-STABLE; or to the RELENG_5_2, RELENG_4_9, or RELENG_4_8 security branch dated after the correction date. 1) 弱点を持った FreeBSD システムを最新の 4-STABLE に更新するか、 あるいは修正日以降の RELENG_5_2, RELENG_4_9, RELENG_4_8 セキュリティブランチのいずれかにアップグレードする。 2) To patch your present system: 2) 現在のシステムに修正パッチを適用する。 The following patches have been verified to apply to FreeBSD 4.8, 4.9, 5.1, and 5.2 systems. 以下の修正パッチは、FreeBSD 4.8, FreeBSD 4.9, FreeBSD 5.1, FreeBSD 5.2 の各システムに適用可能なことが確認されているものです。 a) Download the relevant patch from the location below, and verify the detached PGP signature using your PGP utility. a) 以下の場所から修正パッチをダウンロードし、PGP ユーティリティを使って PGP 署名を確認します。 [FreeBSD 4.8, 4.9, 5.1 with Heimdal 0.5.1] [Heimdal 0.5.1 がインストールされている FreeBSD 4.8, 4.9, 5.1 の場合] # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:08/heimdal51.patch # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:08/heimdal51.patch.asc [FreeBSD 5.2 with Heimdal 0.6] [Heimdal 0.6 がインストールされている FreeBSD 5.2 の場合] # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:08/heimdal6.patch # fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:08/heimdal6.patch.asc b) Execute the following commands as root: b) root 権限で次のコマンドを実行します。 # cd /usr/src # patch < /path/to/patch # cd /usr/src/secure/lib/libcrypto # make obj && make depend && make # cd /usr/src/kerberos5 # make obj && make depend && make && make install (訳注: /path/to/patch の部分は修正パッチのパス名に置き換えてください) Be sure to restart any running services that use Kerberos, such as kdc(8) or sshd(8). Perhaps the simplest way to ensure all such applications are restarted is to reboot the system. kdc(8) や sshd(8) など、Kerberos を使っているサービスが実行されている 場合は、忘れずにそれらをすべて再起動してください。このような アプリケーションを全部、確実に再起動させるには最も簡単な方法は、 システムそのものを再起動させることでしょう。 VI. 修正の詳細 - Correction details The following list contains the revision numbers of each file that was corrected in FreeBSD. FreeBSD において今回修正された各ファイルのリビジョン番号は、以下のとおりです。 Branch Revision ブランチ リビジョン Path パス名 - ------------------------------------------------------------------------- RELENG_4 src/crypto/heimdal/kdc/config.c 1.1.1.2.2.4 src/crypto/heimdal/kdc/kdc.8 1.1.1.2.2.5 src/crypto/heimdal/kdc/kdc_locl.h 1.1.1.2.2.4 src/crypto/heimdal/kdc/kerberos5.c 1.1.1.2.2.5 src/crypto/heimdal/lib/krb5/krb5-protos.h 1.1.1.3.2.5 src/crypto/heimdal/lib/krb5/rd_req.c 1.1.1.3.2.3 src/crypto/heimdal/lib/krb5/transited.c 1.1.1.3.2.3 RELENG_5_2 src/UPDATING 1.282.2.14 src/crypto/heimdal/kdc/config.c 1.1.1.7.2.1 src/crypto/heimdal/kdc/kdc.8 1.1.1.7.2.1 src/crypto/heimdal/kdc/kdc_locl.h 1.1.1.6.2.1 src/crypto/heimdal/kdc/kerberos5.c 1.1.1.8.2.1 src/crypto/heimdal/lib/krb5/krb5-protos.h 1.1.1.9.2.1 src/crypto/heimdal/lib/krb5/rd_req.c 1.1.1.6.6.1 src/crypto/heimdal/lib/krb5/transited.c 1.1.1.6.2.1 src/sys/conf/newvers.sh 1.56.2.13 RELENG_4_10 src/crypto/heimdal/kdc/config.c 1.1.1.2.2.3.8.1 src/crypto/heimdal/kdc/kdc.8 1.1.1.2.2.4.8.1 src/crypto/heimdal/kdc/kdc_locl.h 1.1.1.2.2.3.8.1 src/crypto/heimdal/kdc/kerberos5.c 1.1.1.2.2.4.8.1 src/crypto/heimdal/lib/krb5/krb5-protos.h 1.1.1.3.2.4.8.1 src/crypto/heimdal/lib/krb5/rd_req.c 1.1.1.3.2.2.10.1 src/crypto/heimdal/lib/krb5/transited.c 1.1.1.3.2.2.8.1 RELENG_4_9 src/UPDATING 1.73.2.89.2.7 src/crypto/heimdal/kdc/config.c 1.1.1.2.2.3.6.1 src/crypto/heimdal/kdc/kdc.8 1.1.1.2.2.4.6.1 src/crypto/heimdal/kdc/kdc_locl.h 1.1.1.2.2.3.6.1 src/crypto/heimdal/kdc/kerberos5.c 1.1.1.2.2.4.6.1 src/crypto/heimdal/lib/krb5/krb5-protos.h 1.1.1.3.2.4.6.1 src/crypto/heimdal/lib/krb5/rd_req.c 1.1.1.3.2.2.8.1 src/crypto/heimdal/lib/krb5/transited.c 1.1.1.3.2.2.6.1 src/sys/conf/newvers.sh 1.44.2.32.2.7 RELENG_4_8 src/UPDATING 1.73.2.80.2.22 src/crypto/heimdal/kdc/config.c 1.1.1.2.2.3.4.1 src/crypto/heimdal/kdc/kdc.8 1.1.1.2.2.4.4.1 src/crypto/heimdal/kdc/kdc_locl.h 1.1.1.2.2.3.4.1 src/crypto/heimdal/kdc/kerberos5.c 1.1.1.2.2.4.4.1 src/crypto/heimdal/lib/krb5/krb5-protos.h 1.1.1.3.2.4.4.1 src/crypto/heimdal/lib/krb5/rd_req.c 1.1.1.3.2.2.6.1 src/crypto/heimdal/lib/krb5/transited.c 1.1.1.3.2.2.4.1 src/sys/conf/newvers.sh 1.44.2.29.2.20 - ------------------------------------------------------------------------- VII. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです。過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています。 ただし翻訳者および doc-jp は、その内容についていかなる保証も いたしませんのでご注意ください。日本語訳についてのご意見、ご要望、 お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします。 この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します。 ネットワークの混雑を緩和するため、まずはミラーサイトの利用を 考慮するようお願いします。 日本のミラーサイトを利用するには、 http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に、 ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に、 それぞれ置き換えてください。 他の地域を含むミラーサイトに関する詳細は http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/mirrors.html (英文) http://www.FreeBSD.org/doc/ja_JP.eucJP/books/handbook/mirrors.html (日本語訳) にまとめられています。 $hrs: announce-jp/FreeBSD-SA/04:08,v 1.3 2004/05/09 13:04:05 hrs Exp $