FreeBSD セキュリティ勧告 日本語版 ============================================================================= FreeBSD-SA-02:16 (2002-03-12) * GIF/JPEG comment vulnerability in Netscape ============================================================================= このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Ports Security Advisory FreeBSD-SA-02:16.netscape From: FreeBSD Security Advisories Date: Tue, 12 Mar 2002 06:28:03 -0800 (PST) Message-Id: <200203121428.g2CES3e64408@freefall.freebsd.org> X-Sequence: announce-jp 948 を日本語訳したものです。 原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。 修正パッチ等の内容が改ざんされていないことを確認するために PGP 署名の チェックを行なうには、原文を参照してください。 日本語訳およミラーサイト利用の詳細については、文末の「A. FreeBSD セキュリティ勧告 日本語版について」をご覧ください。 [翻訳者: 佐藤 広生 ] --(ここから) ============================================================================= FreeBSD-SA-02:16 Security Advisory FreeBSD, Inc. トピック: GIF/JPEG comment vulnerability in Netscape Netscape における GIF/JPEG のコメントに起因する セキュリティ上の弱点 分類: ports モジュール: netscape 告知日: 2002-03-12 クレジット: Florian Wesch 影響範囲: バージョン 4.77 より前のすべての Netscape port 修正日: 2001-04-07 16:41:36 UTC FreeBSD に固有か: NO I. 背景 - Background Netscape Navigator, Netscape Communicator は人気のあるウェブブラウザです。 FreeBSD Ports Collection では、いくつかのバージョンが提供されています。 II. 問題の詳細 - Problem Description GIF89a および JPEG 規格では、画像にコメントを埋め込むことが可能です。 そのコメント部分には、テキストデータであればどんな種類のものでも格納できます。 Netscape ブラウザのバージョン 4.76 およびそれ以前のもので JavaScript の実行という設定を有効にしている場合、 そのようなコメント部分に含まれる JavaScript も実行されます。 Netscape ブラウザは非標準の URL スキームである `about:' に対応しています。 Navigator に `about:' からはじまる URL を指定すると、セキュリティ上重要な 情報を表示させることが可能です。たとえば `about:global' は最近アクセスした URL のリストを表示しますし、`about:cache' はそれに加え、ページを 閲覧した時刻およびディスクキャッシュにおいて対応するファイル名を表示します。 また `about:config' は、すべてのブラウザ設定を表示させることができます。 悪意を持って作成された JavaScript が画像のコメント部分に含まれている場合、 その実行される JavaScript を使うことで `about:' URL で得られる情報を ある悪意を持ったウェブサーバへ送らせることが可能です。 Netscape の port はいずれもデフォルトでインストールされるものではなく、 「FreeBSD システムの一部」を構成するものでもありません。 それらは数千個におよぶサードパーティ製アプリケーションがすぐに インストールできる形で収められている FreeBSD Ports Collection の一部です。 FreeBSD 4.5 に収録された Ports Collection にはいくつかのバージョンの Netscape が含まれており、それらにはこの問題が含まれています。 FreeBSD では、このようなサードパーティ製アプリケーションのセキュリティ 問題に対して、いかなる保証もしていません (訳注: Ports Collection に 入っているからといって, FreeBSD の開発者たちがそのアプリケーションが 安全であると評価したわけではありません)。ただし、セキュリティ問題に対して 大きな影響を持つような ports に対するセキュリティ監査を提供すべく、 現在努力中です。 III. 影響範囲 - Impact JavaScript の実行を有効にしているブラウザで悪意を持った ウェブサーバ上のページにアクセスした場合、そのブラウザを悪用して ウェブサーバにセキュリティ上重要な情報を送らせることが可能です。 もし Netscape の port/package をインストールしていなければ、システムに この問題によるセキュリティ上の弱点はありません。 IV. 回避方法 - Workarounds 次のいずれかに従ってください。 1) 問題のを持った Netscape の port もしくは package が インストールされている場合は、それらを削除します。 2) JavaScript を無効にします。これは Navigator を起動して 編集 (Edit) メニューを選択し、設定 (Preferences) を選んで 詳細 (Advanced) の部分の設定を変えることで行なうことができます。 また、もう一つの方法として、次の行 user_pref("javascript.enabled", false); を、各ユーザ全員の $HOME/.netscape/preferences.js に追加するという方法が あります。ただし JavaScript を有効にしなければならないウェブサイトが あるため、ユーザは再度 JavaScript を有効にすると思われます。もしユーザが 再度有効にした場合、セキュリティ上の弱点がある状態に戻ってしまいます。 3) 同じく、画像の自動読み込みを無効にします。対応する設定行は user_pref("general.always_load_images", false); です。いくつかのウェブサイトでは画像の読み込みが要求されます。もし ユーザが画像の自動読み込みを有効にしたり画像ボタンをクリックした場合は、 いずれもセキュリティ上の弱点がある状態に戻ってしまいます。 4) フィルタリング機能つきのプロキシを導入し、信頼できないサイトからの 画像の転送をすべてブロックします。それには www/adzap や www/adzapper の port が適当でしょう。ただし、これを行なうと多くのウェブサイトが 閲覧不能な状態になるでしょう。 V. 解決策 - Solution 次のいずれかに従ってください。 1) Ports Collection 全体をアップグレードし 対応する Netscape の port が あればそれを再構築する。FreeBSD/i386 を含むいくつかのプラットフォーム用の Netscape バイナリは、4.77 のリリース以降提供されていません。 2) 古い (訳注: Netscape の) package をシステムから削除し、 新しい package を以下のディレクトリから取得してインストールする。 [i386] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/ linux-netscape-communicator-4.79.tgz linux-netscape-navigator-4.79.tgz [alpha] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/www/ netscape-communicator-4.78.tgz 3) Netscape の新しい port スケルトンを以下の場所からダウンロードし、 それを使って port を再構築する。 http://www.freebsd.org/ports/ 注意: FreeBSD Ports Collection で提供されている Netscape の port には 非常にたくさんの変種が存在するため、ここではそれらを個別に 示していません。各言語のサブディレクトリには、ローカライズされた バージョンの Netscape も置かれています。 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使う。 portcheckout の port は /usr/ports/devel/portcheckout にあります。 また、portcheckout の package が以下の場所から入手可能です。 ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/Latest/portcheckout.tgz VI. 参考資料 - References A. FreeBSD セキュリティ勧告 日本語版について 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が 参考のために提供するものです。過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています。 ただし翻訳者および doc-jp は、その内容についていかなる保証も いたしませんのでご注意ください。日本語訳についてのご意見、ご要望、 お問い合わせ等は doc-jp@jp.FreeBSD.org までお願いします。 この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します。 ネットワークの混雑を緩和するため、まずはミラーサイトの利用を 考慮するようお願いします。 日本のミラーサイトを利用するには、 http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に、 ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に、 それぞれ置き換えてください。 他の地域を含むミラーサイトに関する詳細は http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) にまとめられています。 $hrs: announce-jp/FreeBSD-SA/02:16,v 1.5 2002/03/24 17:53:42 hrs Exp $