HardenedBSDからの指摘
HardenedBSDの開発者らから、
こうしたHardendBSDの開発者らの指摘およびこれに対するFreeBSDプロジェクトの取り組みの様子が次のページにまとまっています。
- Vulnerability Update: libarchive
- [FreeBSD-Announce] FreeBSD Core statement on recent freebsd-update and related vulnerabilities
簡単にまとめると、
これまでの動きと今後の対応
「[FreeBSD-Announce] FreeBSD Core statement on recent freebsd-update and related vulnerabilities」
- freebsd-update(8)およびportsnap(8)にセキュリティ脆弱性が存在していることは指摘したとおりなのですが、
セキュリティチームからコミュニティに対して通知を行っていないのはなぜですか? → 基本的にFreeBSDセキュリティオフィサーは問題を修正するパッチをリリースしていない段階ではアナウンスを行わないというルールになっているからです (ただし、 すでにセキュリティ脆弱性を利用するPoCや既知の攻撃などが確認されている場合にはこのルールを超えて行動することもあります)。 - FreeBSDセキュリティアドバイザリSA-16:25の修正をbsdpatchに適用するためにfreebsd-update(8)を実行することは、
セキュリティ脆弱性の影響を受ける可能性があることについて説明が行われていないことはなぜですか? → このセキュリティ脆弱性の影響を受けるにはパッチを取得している段階でアクティブな中間者攻撃を受ける状況にある必要があります。FreeBSDセキュリティアドバイザリはセキュリティ脆弱性の論理包含に基づいた情報を含まないようにしていますし、 「Impact」 の項目にはより明確な情報を記載する必要があるからです。 - FreeBSDセキュリティアドバイザリSA-16:25に含まれているパッチは不完全でヒープ汚染の脆弱性が残っています。より包括的なパッチが存在するにも関わらず、
一部のパッチしか適用してないのはなぜでしょうか? → bsdpatch(1)の開発者と議論した結果、 提案していただいたパッチは非互換を生み出してしまう制限が含まれてしまうことを発見しました。これまでは適用できていた適切なパッチが適用できなくなる可能性があることもわかりました。このため、 より包括的な修正パッチを開発できるまでの対策として先のセキュリティアドバイザリでは非互換性を生み出すことのない主要な問題のみを修正するパッチだけを含めました。
今回HardenedBSDの開発者らから指摘された問題に抜本的に対応するにはfreebsd-update(8)とportsnap(8)のデザインも含めて作り替える必要があります。互換性の確保についても考えると、
今のペースのままいきますと、
HardenedBSDとは
HardenedBSDは2014年にOliver Pinter氏とShawn Webb氏が取り組みを開始したセキュリティ強化版のFreeBSDです。HardenedBSDではFreeBSDをベースによりセキュリティ強化や脆弱性攻撃の影響を低減するセキュリティ技術の研究開発に取り組んでいます。同プロジェクトは当初、
HardenedBSDでの取り組みは随時FreeBSDにバックポートされています。今回のパッチもバックポートと言えるでしょう。HardenedBSDがFreeBSDをベースにしたのは開発が簡単だったからだという説明があります。FreeBSDにはこれ以外にもセキュリティの研究開発を目的としてフォークしたプロジェクトがいくつかあります。取り組み成果物が本家にフィードバックされています。
勉強会
第56回 9月27日(火)19:00~ ZFSとJailによるコンテナ技術活用、ユーザへのファイルシステム特権の委譲ほか
ZFSは管理者のやることを大きく変えました。多くの便利な機能は管理者にもう戻ることのできない利便性を与えてくれました。しかし、
第56回目からは、
参加申請はこちらから。
第57回 10月27日(水)19:00~ 検討中
ただいま内容を検討中です。