FreeBSD Daily Topics

2008年12月24日USB2 2009年1月3日をめどにデフォルト機能へ、NDIS USBもマージ予定、ftpd(8)にクロスサイトリクエスト偽装攻撃の可能性、NetgraphとBluetoothソケットに権限引上を含むセキュリティホールあり

heads-up

USB2 comming 2009/01/03

current - Alfred Perlstein氏がcurrent mlにおいて、約2週間後となる2009年1月3日をめどにGENERICカーネルにおけるデフォルトのUSBスタックを現行のUSB1からUSB2へ移行させると説明しています。

USB2はGiant Lockフリーを実現するとともに、高速通信に対応する新実装です。移行当初はいくらかの問題報告が続くことになると見られます。バグ洗い出しに協力できる場合は積極的にアップグレードを、USB関連で問題が発生しては困る場合にはアップグレードをしばらく見守るか、アップグレード後もUSB1を使うようにカーネル設定ファイルを作成してください。

NDIS USB comming soon

current - Weongyo Jeong氏がcurrent mlにおいてNDIS USBのマージを実施する旨を報告しています。同パッチが取り込まれるとUSB1でNDIS USBが使えるようになります。ただしもうしばらくするとUSB2がデフォルトのUSBスタックになるため、氏はUSB2に移植できる人物を探していると説明しています。

security-advisory

FreeBSD-SA-08:12.ftpd

セキュリティ勧告FreeBSD-SA-08:12.ftpdが発表されました。ベースシステムにマージされているftpd(8)が特定の細工されたコマンドを使われることでクロスサイトリクエスト偽装攻撃に使われる可能性があることが明らかになりました。

ftpd(8)はデフォルト設定では動作しませんので、その場合にはこの問題の影響はありません。ftpd(8)を動作させている場合、提供されているパッチをあててftpd(8)を作り直すかシステムを最新のセキュリティブランチへアップデートしてください。

FreeBSD-SA-08:13.protosw

セキュリティ勧告FreeBSD-SA-08:13.protoswが発表されました。NetgraphとBluetoothソケットに対する関数ポインタのいくつかが適切に初期化されておらず、ローカルユーザによって任意のコードを許可する脆弱性があることが明らかになりました。root権限の取得やJailからの脱走も可能になります。

ただし、ng_socketカーネルモジュールとng_bluetoothカーネルモジュールを読み込んでおらずさらにカーネルに組み込んでいない場合には、この影響は受けません。デフォルトでは読み込まれないため、明示的にカーネルに組み込んでいる場合かモジュールを読みんでいる場合に影響を受けます。パッチを適用してカーネルを再構築するか、システムを最新のセキュリティブランチへアップデートしてください。

おすすめ記事

記事・ニュース一覧