FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-02:12 (2002-02-21) * multiple security vulnerabilities in squid port ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Ports Security Advisory FreeBSD-SA-02:12.squid From: FreeBSD Security Advisories Date: Thu, 21 Feb 2002 05:58:28 -0800 (PST) Message-Id: <200202211358.g1LDwSg16775@freefall.freebsd.org> X-Sequence: announce-jp 937 を日本語訳したものです. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには, 原文を参照してください. 日本語訳および, ミラーサイト利用の詳細については, 文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください. [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-02:12 Security Advisory FreeBSD, Inc. トピック: squid の port に存在する複数のセキュリティ上の弱点 (multiple security vulnerabilities in squid port) 分類: ports モジュール: squid24 告知日: 2002-02-21 クレジット: Jouko Pynnonen Henrik Nordstrom 影響範囲: 修正日より前の Ports Collection 修正日: 2002-02-19 13:46:22 UTC FreeBSD に固有か: NO I. 背景 - Background Squid Internet Object Cache は, web proxy/cache ソフトウェアの一つです. II. 問題の詳細 - Problem Description Squid のバージョン 2.4-STABLE4 (port のバージョンでは 2.4_8) より 前のものには, 次のようなセキュリティ上の弱点が存在します. 1) オプション機能の一つである SNMP 監視インターフェイスには, メモリリーク問題があります. FreeBSD の port では, 標準で このコードを含めないようになっていますが, コンパイル時の オプションを設定すると有効にすることが可能です. 2) FTP URL の認証部分の字句解析を行なうコードに バッファオーバフロー問題が含まれています. 3) オプション機能の一つである HTCP インターフェイスが実行時に きちんと無効化されない場合があります. FreeBSD の port では, 標準で このコードを含めないようになっていますが, コンパイル時の オプションを設定すると有効にすることが可能です. squid の port はデフォルトでインストールされるものではなく, 「FreeBSD システムの一部」を構成するものでもありません. それらは数千個におよぶサードパーティ製アプリケーションがすぐに インストールできる形で収められている FreeBSD Ports Collection の一部です. このセキュリティ上の弱点は FreeBSD 4.5 のリリース後に判明したもので, FreeBSD 4.5 に収録された Ports Collection にも, この問題が含まれています. FreeBSD では, このようなサードパーティ製アプリケーションのセキュリティ 問題に対して, いかなる保証もしていません (訳注: Ports Collection に 入っているからといって, FreeBSD の開発者たちがそのアプリケーションが 安全であると評価したわけではありません). ただし, セキュリティ問題に対して 大きな影響を持つような ports に対するセキュリティ監査を提供すべく, 現在努力中です. III. 影響範囲 - Impact 1) Squid の SNMP ポートにパケットを送信できる攻撃者は, Squid に メモリを使い果たさせてクラッシュさせることが可能です (注: FreeBSD の port の標準設定では, SNMP は有効になっていません). 2) Squid proxy を利用できる正規のユーザが特殊な ftp:// リクエスト を送ることで, Squid のプロセスをクラッシュさせてサービス妨害を 実現することができる可能性があります. また, 現時点では具体的な 悪用方法が存在するかどうか不明ですが, Squid のプロセスが 持つ権限で任意のコードを実行できる可能性も考えられます. 3) 許可を受けていないユーザが HTCP を使い, キャッシュ資源を不正に 利用することができる可能性があります (注: FreeBSD の port の標準設定では, HTCP は有効になっていません). IV. 回避方法 - Workaround 1) SNMP の問題は, 次の設定を (訳注: squid.conf に) 行ない SNMP 対応を完全に無効にすることで回避できます. snmp_port 0 2) 1) に加えて, Squid SNMP ポート (標準では UDP ポート 3401) に対する 信頼できないホストからの到着パケットをブロックする ファイアウォールルールを設定すると良いでしょう. 3) 2 番目の弱点を回避するには, squid.conf の先頭 (http_access allow 行が 現れるより前) に次のようなルールを追加し, anonymous FTP URL でない FTP URL の転送を拒否させます. acl non_anonymous_ftp url_regex -i ftp://[^/@]*@ http_access deny non_anonymous_ftp 4) HTCP の問題を回避する方法は, Squid HTCP ポート (標準では UDP ポート 4827) に対する信頼できないホストからの到着パケットをブロックする ファイアウォールルールを設定する以外にありません. 5) あるいは, squid の port/package をアンインストールしてください. V. 解決策 - Solution 次のいずれかに従ってください. 1) Ports Collection 全体をアップグレードし squid の port を再構築する. 2) 古い (訳注: squid の) package をシステムから削除し, 修正日以降に作成された新しい package を以下の場所から 取得してインストールする. [i386] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/ squid-2.4_8.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/ squid-2.4_8.tgz [alpha] 現時点では alpha アーキテクチャ用の package は自動生成されていません. これは, 構築のためのマシンリソースが不足しているためです. 注意: 更新された package が提供されるまで, 数日かかる可能性があります. 3) squid の新しい port スケルトンを以下の場所からダウンロードし, それを使って port を再構築する. http://www.freebsd.org/ports/ 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使う. portcheckout の port は /usr/ports/devel/portcheckout にあります. また, portcheckout の package が以下の場所から入手可能です. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/Latest/portcheckout.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/Latest/portcheckout.tgz VI. 修正の詳細 - Correction details 次の表は FreeBSD Ports Collection に含まれる, 今回修正されたファイルの $FreeBSD$ リビジョン番号です. パス名 リビジョン番号 - ------------------------------------------------------------------------- ports/www/squid24/Makefile 1.87 ports/www/squid24/distinfo 1.63 - ------------------------------------------------------------------------- VII. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです. 過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています. ただし, 翻訳者および doc-jp は, その内容についていかなる保証も いたしませんのでご注意ください. 日本語訳についてのご意見, ご要望, お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします. この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します. ネットワークの混雑を緩和するため, まずはミラーサイトの利用を 考慮するようお願いします. 日本のミラーサイトを利用するには, http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に, ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に, それぞれ置き換えてください. 他の地域を含む, ミラーサイトに関する詳細は, http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています. $hrs: announce-jp/FreeBSD-SA/02:12,v 1.3 2002/02/24 01:01:06 hrs Exp $