このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Ports Security Advisory: FreeBSD-SA-00:40.mopd From: FreeBSD Security Advisories Date: Mon, 28 Aug 2000 12:43:18 -0700 (PDT) Message-Id: <20000828194318.AE08D37B440@hub.freebsd.org> X-Sequence: announce-jp 512 を日本語訳したものです. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. パッチ等の内容が改竄されていないことを確認するために PGP のチェックを 行なうには, 原文を参照してください. 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト(doc-jp)が参考の ために提供するもので, doc-jp は その内容についていかなる保証もいたしません. 日本語訳についてのお問い合わせは doc-jp@jp.FreeBSD.org までお願いします. --(ここから) ============================================================================= FreeBSD-SA-00:40 Security Advisory FreeBSD, Inc. トピック: mopd port allows remote root compromise 分類: ports モジュール: mopd 告知日: 2000-08-28 クレジット: Matt Power , OpenBSD 影響範囲: 修正日以前の Ports Collection 修正日: 2000-08-09 ベンダの対応: 連絡済み FreeBSD に固有か: NO I. 背景 - Background mopd は VAX シリーズや DECstations などの古い DEC マシンを ネットワーク経由で起動するために使われるソフトウェアです. II. 問題の詳細 - Problem Description mopd の port には, リモートから悪用される危険性のある セキュリティ上の弱点が含まれています. 攻撃者はそれらを悪用し, ローカルマシン上の root 権限で任意のコードを実行することが可能です. mopd の port はデフォルトでインストールされるものではなく, FreeBSD システムの一部を構成するものでもありません. それらは 3700 を越えるサードパーティ製アプリケーションがすぐに インストールできる形で収められている FreeBSD Ports Collection の一部です. リリース後に問題が見つかったため, FreeBSD 3.5-RELEASE および 4.1-RELEASE とともに出荷された Ports Collection はこの問題を含んでいます. FreeBSD では, このようなサードパーティ製アプリケーションのセキュリティ 問題に対して, 特に何かを主張することはありません(訳注: Ports Collection に 入っているからといって, FreeBSD の開発者たちがそのアプリケーションが 安全であると評価したわけではありません). ただし, セキュリティ問題に対して 大きな影響を持つような ports に対するセキュリティ監査を提供すべく, 現在努力中です. III. 影響範囲 - Impact リモートユーザはローカルマシン上の root 権限で任意のコードを 実行することが可能です. mopd の port もしくは package をインストールしていなければ, システムにこの問題によるセキュリティ上の弱点はありません. IV. 回避方法 - Workaround 次のいずれかに従ってください. 1) mopd の port/package がインストールされている場合は, それをシステムから削除してください. 2) ファイアウォールや ipfw(8)/ipf(8) をローカルマシンで使い, mopd port へのアクセスを制限してください. また, (訳注: アクセス制限を行なったとしても) このアクセス制限を 通過したユーザによって, この弱点が悪用される危険性があることに 注意する必要があります. V. 対応策 - Solution 次のいずれかに従ってください. 1) Ports Collection 全体をアップグレードし, mopd の port を再構築します. 2) 古い (訳注: mopd の) package をシステムから削除し, 修正日以降に 作成された新しい package を以下の場所から取得してインストールします. 日本のミラーサイトを利用する場合は ftp.FreeBSD.org を ftp.jp.FreeBSD.org に置き換えてください. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/net/mopd-1.2b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/net/mopd-1.2b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/net/mopd-1.2b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/net/mopd-1.2b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/net/mopd-1.2b.tgz 注意: ソフトウェアのバージョン番号は変更されていませんので, package ファイルの作成日時が合っているか確認するようにしてください. 3) mopd port の新しい port スケルトンを以下の場所からダウンロードし, それを使って port を再構築します. http://www.freebsd.org/ports/ (英文) http://www.jp.FreeBSD.org/www.FreeBSD.org/ja/ports/ (日本語訳) 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使います. portcheckout の port は /usr/ports/devel/portcheckout にあります. また, portcheckout の package が以下の場所から入手可能です. 日本のミラーサイトを利用する場合は ftp.FreeBSD.org を ftp.jp.FreeBSD.org に置き換えてください. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/devel/portcheckout-2.0.tgz $hrs: announce-jp/FreeBSD-SA/00:40,v 1.2 2000/09/06 15:40:07 hrs Exp $