このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Ports Security Advisory: FreeBSD-SA-00:64.global From: FreeBSD Security Advisories Date: Mon, 6 Nov 2000 12:14:04 -0800 (PST) Message-Id: <20001106201404.5C3C337B661@hub.freebsd.org> X-Sequence: announce-jp 592 を日本語訳したものです. この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します. ミラーサイトを利用するには, http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に, ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に, それぞれ置き換えてください. ネットワークの混雑を緩和するため, まずはミラーサイトの利用を 考慮するようお願いします. ミラーサイトに関する詳細は http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) に, また, 過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. パッチ等の内容が改竄されていないことを確認するために PGP のチェックを 行なうには, 原文を参照してください. 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が参考の ために提供するもので, doc-jp は その内容についていかなる保証もいたしません. 日本語訳についてのお問い合わせは doc-jp@jp.FreeBSD.org までお願いします. --(ここから) ============================================================================= FreeBSD-SA-00:64 Security Advisory FreeBSD, Inc. トピック: global port allows remote compromise through CGI script 分類: ports モジュール: global 告知日: 2000-11-06 クレジット: Shigio Yamaguchi 影響範囲: 修正日前の Ports Collection 修正日: 2000-10-09 ベンダの対応: 修正版が公開済み FreeBSD に固有か: NO I. 背景 - Background global は大規模なソースコード本体の索引作成や, 検索を行なうための ソースコードタグ付けシステムです. II. 問題の詳細 - Problem Description global port のバージョン 3.5 から 3.55 までのものには, htags ユーティリティによって生成される CGI スクリプトの中に リモートの攻撃者がローカルシステム上において, スクリプトを 実行しているユーザの権限でコードを実行できるような セキュリティ上の弱点が存在します. スクリプトを実行している ユーザは通常, 大部分のシステムで 'nobody' となっています. このセキュリティ上の弱点は, port をインストールした標準の状態では 存在しません. しかし, システム管理者が 'htags -f' コマンドを実行して ソースコードを閲覧するための CGI スクリプトを生成すると, システムは 攻撃に対して弱点を持つようになります. これは, そのスクリプトが 入力に対して適切なチェックを行なわないことが原因です. 今までリリースされた FreeBSD にも global が含まれていましたが, これらは古いバージョンのものであり, ここで述べられている セキュリティ上の弱点は存在しません. global の port はデフォルトでインストールされるものではなく, 「FreeBSD システムの一部」を構成するものでもありません. それらは 4100 を越えるサードパーティ製アプリケーションがすぐに インストールできる形で収められている FreeBSD Ports Collection の一部です. リリース後に問題が見つかったため, FreeBSD 3.5.1 および 4.1.1 とともに 出荷された Ports Collection はこの問題を含んでいますが, この問題は FreeBSD 4.2 のリリース前に修正されました. FreeBSD では, このようなサードパーティ製アプリケーションのセキュリティ 問題に対して, 特に何かを主張することはありません (訳注: Ports Collection に 入っているからといって, FreeBSD の開発者たちがそのアプリケーションが 安全であると評価したわけではありません). ただし, セキュリティ問題に対して 大きな影響を持つような ports に対するセキュリティ監査を提供すべく, 現在努力中です. III. 影響範囲 - Impact 'htags -f' コマンドを実行して CGI スクリプトを生成しウェブサーバに インストールした場合, リモートユーザはローカルシステムにおいて, CGI スクリプトを実行するユーザの権限で任意のコードを実行することが できる危険性があります. global の port/package をインストールしていないか, もしくは 'htags -f' を使って CGI スクリプトを作成していなければ, システムにこの問題によるセキュリティ上の弱点はありません. IV. 回避方法 - Workaround global の port/package がインストールされている場合は それをシステムから削除するか, もしくはウェブサイトに インストールされている 'global.cgi' というファイルを削除してください. V. 解決策 - Solution 次のいずれかに従ってください. 1) Ports Collection 全体をアップグレードし, global の port を再構築します. 2) 古い (訳注: global の) package をシステムから削除し, 修正日以降に 作成された新しい package を以下の場所から取得してインストールします. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/devel/global-4.0.1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/global-4.0.1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/devel/global-4.0.1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/global-4.0.1.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/devel/global-4.0.1.tgz 3) global port の新しい port スケルトンを以下の場所からダウンロードし, それを使って port を再構築します. http://www.freebsd.org/ports/ [訳注] 原文では cvsweb となっていますが, 誤記だと思われます. 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使います. portcheckout の port は /usr/ports/devel/portcheckout にあります. また, portcheckout の package が以下の場所から入手可能です. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/devel/portcheckout-2.0.tgz $hrs: announce-jp/FreeBSD-SA/00:64,v 1.3 2000/11/10 14:06:36 hrs Exp $