FreeBSD フィード

2009/02/17

freebsd-portsでportsの担当者を募集中



担当者の付いていないportsの世話人を募集しているそうです。


[FreeBSD-users-jp 92077] ports の 担当者募集中だそうです


2009/02/17 17:54:05 | FreeBSD

telnetdの修正パッチが出ました



昨日のtelnetdの脆弱性の件でセキュリティアドバイザリが公開されてます。


対象はFreeBSD 7.0と7.1。昨日書いたように、DragonFly BSDには効果ありません。


http://security.freebsd.org/advisories/FreeBSD-SA-09:05.telnetd.asc


2009/02/17 12:19:25 | FreeBSD, Security

2009/02/16

AsiaBSDCon 2009のプログラム発表



3月12日から15日にかけて行われるAsiaBSDCon 2009のプログラムが発表されました。


http://2009.asiabsdcon.org/timetable.ja.html#timetable


参加登録費は3/1までが12000円、それ以降が15000円。


チュートリアル参加費は全日が8000円/講座、半日が5000円/講座、夕方が2500円/講座。


http://2009.asiabsdcon.org/timetable.ja.html#registrationfee


詳しくはGohyo.jpのFreeBSD Daily Topicsを参照のこと。


FreeBSD Daily Topics:2009年2月16日 ≪要注目≫AsiaBSDCon 2009 プログラム発表 - オンライン早期登録は2月19日から|gihyo.jp … 技術評論社


2009/02/16 21:09:15 | BSD, FreeBSD

FreeBSD 7.x/8.xのtelnetdにroot権限を奪取可能な脆弱性



FreeBSD 7.x/8.xのtelnetdで脆弱性が報告されています。


既知のパス上に攻略ファイルが設置されていると、認証無しでroot権限が奪取されてりまうというもの。FTPやCGIなどで任意のファイルをアップロードできるようにしている場合には注意が必要。修正パッチは現在開発中。とりあえずtelnetdを無効にするか、どうしてもtelnetd必要な場合にはファイアウォールでrootでのアクセスを制限するようにとのことです。


HEADS UP: telnetd exploit in the wild, advisory coming soon


ちなみにDragonFlyでも同様の脆弱性が確認されているものの、原因が異なるためFreeBSD用のパッチは効果が無いそうです。DragonFly用のパッチは以下で公開されています。


telnetd vulnerability fixed · DragonFly BSD Digest


2009/02/16 13:40:24 | FreeBSD, Security

2006/11/19

FreeBSD 6.2-RC1リリース



http://lists.freebsd.org/pipermail/freebsd-stable/2006-November/030811.html


FreeBSD 6.2の初のRelease CandidateとなるRC1が公開されました。各ミラーサイトでISOイメージがダウンロードできます。


2006/11/19 22:06:52 | FreeBSD

Firewireのioctl関数にインテジャオーバーフローの脆弱性



http://www.securiteam.com/unixfocus/6Y00G1PHFQ.html


FreeBSD/NetBSD/DragonflyBSD/TrustedBSDのFirewireデバイスのioctl関数にバッファの長さチェックをパスできる脆弱性が含まれ、これによってインテジャオーバーフローが引き起こされる危険性があるとのことです。FirewireデバイスはGENERICカーネルでデフォルトで有効にされています。上記サイトで対策パッチが公開されています。


2006/11/19 22:06:51 | FreeBSD, security

2006/04/27

portsにlinux-flashpluginが戻ってきた



http://www.freebsd.org/cgi/cvsweb.cgi/ports/www/linux-flashplugin7/Makefile?rev=1.16&content-type=text/x-cvsweb-markup


FreeBSDのportsに含まれていたwww/linux-flashpluginですが、しばらく前にライセンス上の問題が発覚して削除されていました。その件についてMacromediaに問い合わせたところ特に問題がないという内容の解答が得られたので再びportsに戻ったとのことです。要するに、サポートOSには含まれていないので技術的なサポートや保証は一切与えられないがユーザが勝手に動かす分には構わないよ、という話のようです。Gnashはまだ不安定だし、Flashのサイトが見られないのは不便だなぁと思っていたのですが、これで一応しばらくは大丈夫っていうことでしょうか。


ちなみに、今回の件の発端は"ライセンスをチェックし直したら問題がありそうだったから削除した"という話であって、MacromediaがFreeBSDで動かせないようにライセンスを変更したor警告を発したというわけではないはずです。たしか。


追記:slashdot.jpでも取り上げられてます。


http://slashdot.jp/bsd/article.pl?sid=06/04/26/1313250


2006/04/27 17:20:40 | FreeBSD, ports

2006/04/25

FreeBSD Expert 2006発売



http://www.gihyo.co.jp/magazines/fbe


更新ついでに宣伝をひとつ。FreeBSD Expert 2006が発売されました。恒例のインストール記事にはじまって、セキュリティ対策や仮想化技術などが特集されています。それからコミッターへのインタビュー記事は必見。一つ残念なのは、今回はインストール用のROMが付いていないことです。これは6.1のリリースが遅れたことが影響しているとのことです。記事の方は6.1に合わせてあるそうなので、freebsd.orgから最新のものをDLしてください。その6.1ですが、リリース準備はほぼ整って今週末か来週末あたりのリリースになるのではないかという話です。


2006/04/25 13:27:01 | books, FreeBSD

2006/04/13

FreeBSD 6.1-RC1リリース



http://lists.freebsd.org/pipermail/freebsd-hackers/2006-April/016104.html


FreeBSD 6.1-RC1がリリースされました。ようやくRC1。正式リリースは月末か、はたまたさらに延びるか…。


2006/04/13 23:33:35 | FreeBSD

2006/04/06

JDK 1.5がFreeBSDで正式に利用可能に



http://www.freebsdfoundation.org/downloads/java.shtml


SunのJDK/JRE 1.5をベースにしたFreeBSD版のJDK/JRE 1.5のバイナリパッケージがThe FreeBSD Foundationより正式にリリースされました。これまでもソースからビルドした開発版は使用できましたが、今回はSunから正式にライセンスされた公式版です。公式のバイナリが利用できるようになったのは1.3以来です。いやぁスバラシイ。なお今回リリースされたバージョンはJDK/JRE 1.5 Update 6です。


2006/04/06 21:10:53 | FreeBSD, Java

2006/04/03

FreeBSD 2.2.9リリース!



http://lists.freebsd.org/pipermail/freebsd-announce/2006-April/001055.html


なんと、FreeBSD 2.2.9がリリースされました!実に77ヶ月ぶりのリリースだそうです。ISOイメージも公開されていますよ。詳細はリリースノートを参照してください:-)


2006/04/03 16:45:56 | FreeBSD

2006/03/23

FreeBSDに3件のセキュリティ勧告




  • IPsecに再送攻撃を許可してしまう脆弱性


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:11.ipsec.asc


IPsecのfast_ipsec(4)の実装において、再送攻撃を拒絶するためのシーケンスナンバーの検証を無条件でパスしてしまうバグがあるとのことです。4.8-RELEASE以降の全てのリリースが対象となります。



  • OPIEに任意にパスワードを変更されてしまう脆弱性


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:12.opie.asc


OPIEのパスワードを設定するopiepasswd(1)コマンドに脆弱性があり、攻撃者がユーザのパスワードを任意に変更できてしまう可能性があるとのことです。この問題は全てのバージョンが対象になります。



  • sendmailに競合状態が発生する脆弱性


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:13.sendmail.asc


sendmailの非同期シグナルの扱いに欠陥があり、競合状態が発生してリモートから任意のコードを実行される危険性があるとのことです。の問題は全てのバージョンが対象になります。


2006/03/23 14:53:36 | FreeBSD, security

2006/03/15

FreeBSD 6.1-BETA4 および 5.5-BETA4 リリース



http://lists.freebsd.org/pipermail/freebsd-hackers/2006-March/015730.html


FreeBSD 6.1-BETA4と5.5-BETA4がリリースされました。*1 当初の予定ではそろそろ正式版がリリースされているはずなのですが、現状では大幅に遅れているようです。3月中は難しい、最悪4月中旬くらいになるかもといったような声も聞こえていますが、どんなもんでしょう。


関連記事:VFSおよびインストーラに重要な改善、FreeBSD 6.1/5.5-BETA4 公開 | エンタープライズ | マイコミジャーナル




*1:アナウンスメールのサブジェクトはBETA2になっていますが、BETA4の間違いです。それからVSFのパフォーマンスが上がったとありますが、上がったのはパフォーマンスではなくて安定性だそうです。


2006/03/15 20:30:18 | FreeBSD

2006/03/09

mplayerにヒープオーバーフローの脆弱性



http://www.vuxml.org/freebsd/104beb63-af4d-11da-8414-0013d4a4a40e.html


mplayerのdemuxer.hにヒープオーバーフローの脆弱性が報告されています。これによって、悪意のあるASFファイルを演奏することで任意のコードを実行される危険性があるとのことです。対象は0.99.7_10以前のバージョンです。


2006/03/09 22:06:13 | FreeBSD, ports

2006/03/02

FreeBSDセキュリティ勧告 2件



FreeBSDに2件のセキュリティ勧告が出ました。いずれもパッチが公開されています。



NFSサーバにおけるRPCメッセージ処理にバグがあり、カーネルがクラッシュする危険性がある。対象は4.x, 5.x, 6.x。nfs_server_enableを"NO"にしている場合はこの影響を受けない。



OpenSSHとOpenPAMの認証処理にデザイン上の衝突があり、認証処理をストップしてしまう可能性がある。対象は5.3および5.4。sshd_configでUsePAMをnoにしているかUsePrivilegeSeparationをnoにしている場合にはこの影響を受けない。


2006/03/02 21:00:46 | FreeBSD, security

2006/02/02

FreeBSDセキュリティ勧告



ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:08.sack.asc


TCP/IPプロトコルの拡張であるSACKにおいて、ハンドリングで使用できるメモリ容量が不十分である場合に無限ループに陥る脆弱性が報告されました。対象バージョンは5.3と5.4で、システムのアップグレードかパッチの適用を行う必要があります。


2006/02/02 17:07:47 | FreeBSD, security

2006/01/26

FreeBSDセキュリティ勧告2件




  • pf(4)によりカーネルパニックが起こる


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:07.pf.asc


パケットフィルタのpf(4)において、IPフラグメントの処理にカーネルパニックを引き起こすバグがあり、攻撃者に悪用される可能性があるとのことです。対象は5.3、5.4、6.0。



  • ローカルユーザがカーネルメモリの内容を読み取れる可能性がある


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:06.kmem.asc


ioctl(2)メカニズムにおいて、カーネルスタックに割り当てられたバッファがユーザランドにコピーされる際、バッファ長の計算ミスによってバッファが完全に初期化されない可能性があるとのこと。これによって対象のメモリ上に機密情報が含まれていた場合にそれがローカルユーザから読み取れてしまう可能性がありあます。対象は5.4-STABLEおよび6.0。


2006/01/26 17:29:16 | FreeBSD, security

2006/01/18

FreeBSDセキュリティ勧告



ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06%3A05.80211.asc


FreeBSDにおいて、IEEE 802.11による無線ネットワークの処理でinteger overflowを起こす脆弱性が報告されました。この問題によって悪意のあるコードをカーネル権限で実行される恐れがあるとのことです。対象は6.0-RELEASE。修正パッチが配布されています。


2006/01/18 21:27:15 | FreeBSD, security

2006/01/11

FreeBSDセキュリティ勧告



セキュリティ勧告が一気に4つも出ましたね。


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:01.texindex.asc


texindex(1)で使用されるsort_offline関数が一時ファイルを作成する際に予測可能な名前を使用する上、パスが存在しないかの検証にを行わないというもの。これによって攻撃者にシステムファイルを上書きされる危険性がある。


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:02.ee.asc


ee(1)で使用されるispell_op関数も、上と同様の問題を含むとのこと。


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:03.cpio.asc


cpioに以下の3つの脆弱性。



  • 新規ファイルを作成する際にパーミッションの設定を行わないでファイルをクローズしてしまうため、攻撃者にパーミッションを変更される危険性がある。

  • ファイルを展開する際に相対パスの".."を正しく処理しないため、攻撃者にファイルを上書きされる危険性がある。

  • 64ビットプラットフォーム上で4GB以上のファイルをcpioアーカイブに追加しようとした場合、バッファオーバーフローを起こす危険性がある。


ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:04.ipfw.asc


ipfwにおいて、パケットを破棄するためにTCPリセットまたはICMPエラーメッセージを送る際に、レイヤ4のヘッダ情報へのポインタの初期化に失敗するバグがあるとのこと。これによってDoS攻撃を許容する危険性がある。


2006/01/11 22:44:18 | FreeBSD, security

2005/12/19

2006年のリリーススケジュール発表



http://lists.freebsd.org/pipermail/freebsd-current/2005-December/058964.html


FreeBSDの来年のリリーススケジュールが発表されました。



Jan 30: Freeze RELENG_5 and RELENG_6


Mar 20: Release FreeBSD 6.1


Apr 3: Release FreeBSD 5.5


Jun 12: Freeze RELENG_6


Jul 31: Release FreeBSD 6.2


Oct 23: Freeze RELENG_6


Dec 11: Release FreeBSD 6.3



5系は5.5で最後とのことです。これは単に6系への移行期間に若干の猶予をもたせるためで、可能限り早急に6系へ移行することをすすめています。というか、もう5.5に注力する気は無いみたいですよ。


2005/12/19 13:42:06 | FreeBSD
« Previous | Next »