2007年11月30日　FreeBSD 6.3-RC1公開、random(4)やurandom(4)に脆弱性、gtar(1)に脆弱性

heads-up

6.3-RC1: 2007年11月29日(米国時間)、リリースへ向けた準備リリースFreeBSD 6.3-RC1が公開されました。準備リリースはRC2まで予定されています。すでにリリースタグは切られていますので、ソースコードを更新してインストールする場合にはRELENG_6_3タグを指定してください。用意されているアーキテクチャはalpha、amd64、i386、pc98、sparc64です。

FreeBSD-SA-07:09.random: 特定条件下においてrandom(4)やurandom(4)を通じて内部情報が漏洩する可能性があることがわかりました。このセキュリティ問題を利用されると直前に読み込まれたランダム値の断片を攻撃者に推測されることが可能で、セキュリティ機能に対して好ましくない状況を与える可能性があります。一時的に同問題を回避する方法はないため、セキュリティパッチを当てるか最新のセキュリティブランチへ更新してください。
FreeBSD-SA-07:10.gtar: FreeBSD 5系まで採用されていたGNU tar（gtar）に、"."および".."を含んだパスの処理に問題があり、システム上のファイルを上書きする脆弱性があることがわかりました。gtarを実行するユーザ権限でしかファイルの上書きは実行されませんが、細工されたアーカイブファイルを使うとファイルが上書きされる可能性があります。FreeBSD 5.3以降で導入されたbsdtar(1)を代わりに使うか、セキュリティパッチを当てるか最新のセキュリティブランチへ更新してください。影響を受けるのはFreeBSD 5系のみです。