FreeBSD Daily Topics

2008年7月16日BIND更新、sio(4) → uart(4)変更、PmcToolsを7-STABLEで、NetBSD 5.0プレビュー、DragonFly 2.0あと少し

heads-up

sio(4) → uart(4)

current - i386およびamd64におけるデフォルトのシリアルコンソールドライバがsio(4)からuart(4)へ変更されました。pc98における変更はメンテナの対応を待ってからになるようです。関連する設定ファイルなどで指定されるドライバがsio(4)からuart(4)へと変更されています。

システムをアップデートする際にはmergemaster(8)を使うなどして設定ファイルを確実にアップデートしてください。設定ファイルが更新されないとuart(4)が使われるようになりません。

PmcTools fot 7-STABLE

システムにほぼ負荷をかけることなくシステムパフォーマンスの計測や分析を実施するための機能PmcTools(hwpmc(4)、libpmc(3)、pmcstat(8))を実現する7-STABLE向けのパッチが発表されました。

パッチはPmcTools - FreeBSD Wikiから取得できます。同機能は8-CURRENTに対してはすでに2007年12月の時点でコミットされています。

links

NetBSD 5.0 preview

Hubert Feyrer氏がNetBSD 5.0 preview: User visible changes in NetBSD-currentlにおいてNetBSD 4.0をNetBSD-current (4.99.69)へアップグレードしたときの経験をまとめています。そのなかでいくつか興味深い機能が紹介されています。

/etc/rc.confに「per_user_tmp=yes」を設定しておくと/tmpが共通ではなくユーザごとにユニークに用意されるようになります。これはマジックシンボリックリンクを使って実現されているもので、実際には「/private/tmp/@ruid」といったディレクトリが使われています。同様の取り組みはMac OS Xですでに実現されています。またベースシステムにhttpdが取り込まれているようです。/etc/inetd.confのhttpdサービスを有効にすると動作が確認できるとされています。

DragonFly 2.0 7-day after

DragonFly BSD 2.0のリリースが2008年7月20日(米国時間)に予定されています。2.0ブランチが作成され準備が進められているようです。

security-advisory

FreeBSD-SA-08:06.bind

リモートクエリを実施する場合、BIND DNSはUDPソースポートのランダマイズを実装していませんでした。このためクエリIDのみが適切なランダマイズを提供していないという問題がありました。結果として、DNSキャッシュポイズニング攻撃を実施するために必要になるデータ量の削減に寄与していたという問題がありました。これを悪用されると、ターゲットシステムからユーザに対して返信されるDNSクエリの結果を制御したり影響を及ぼせる可能性があります。

一時的にこの問題を回避する方法はありません。ただし、再帰クエリを可能にするマシンを限定することで問題の発現を困難にすることは可能です。再帰クエリを限定する場合はたとえば次のように設定を実施します。

リスト 再帰クエリを可能にするマシンを限定する設定例 - セキュリティアドバイザリより抜粋
acl example-acl {
   192.0.2.0/24;
};

options {
	recursion yes;
	allow-recursion { example-acl; };
};

問題を解決するには提供されているパッチを当ててBINDを再構築するか、システムを最新のセキュリティブランチへアップデートします。リリースブランチとしては6.3-RELEASE-p3および7.0-RELEASE-p3がアップデート後のものとなります。

BINDを更新するとUDPポートの扱いが変更されるため、これに合わせてファイアウォールの設定を変更する必要があるかもしれません。BINDのアップデートに合わせて変更を忘れずに実施してください。なお同様の変更はPorts CollectionのBINDに関してはすでに適用されています。

おすすめ記事

記事・ニュース一覧