パスワードを忘れた? アカウント作成
Close
10306 story

FreeBSDに3つのセキュリティ勧告 9

ストーリー by yoosee
まとめてあげとこう 部門より

KENN 曰く、 " FreeBSDから、FreeBSD-SA-05:10.tcpdumpFreeBSD-SA-05:11.gzipFreeBSD-SA-05:12.bind9の3つのセキュリティ勧告(SA)が出ている。

tcpdumpとbind9はいずれもDoS、gzipはかつて多くのアーカイバでも問題になったdirectory traversalに関する脆弱性のようだ。いずれもソースツリー内ではcontrib以下に含まれる、FreeBSD固有のものではないツールの脆弱性のため、他のOSにおいても対策が必要な場合もあると思われる。

なおtcpdumpに関しては、SAにReferencesとして記載されているbugtraqへの投稿を見る限り、etherealも同様の脆弱性を持っている模様である。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FreeBSDに3つのセキュリティ勧告 More

  • まだ出そう? (スコア:3, 参考になる)

    by KENN (3839) on 2005年06月11日 13時52分 (#749815) 日記

    「他のOSでも関係あるかも」と自分で書いたので調べてみました。

    debianには上記のツールに関するアナウンスは見当たらないんですが、逆にdebianで出てるbzipの脆弱性 [debian.org]が、FreeBSDのソースツリー内にあるものにはまだ残っている気がします。

  • ざっと読んだ限りでは、今から他の UNIX 系 OS に波及する話は少ないように見える。

  • 5.4-RELEASE-p2 (スコア:2, 参考になる)

    by mojalor (16164) on 2005年06月12日 20時43分 (#750212)

    tcpdumpとgzipに関してはcvsupしてmake worldで直りますね。

    /usr/src/UPDATINGより抜粋:
    20050608: p2 FreeBSD-SA-05:10.tcpdump, FreeBSD-SA-05:11.gzip
    Correct several denial-of-service vulnerabilities in tcpdump.

    Correct directory traversal and race condition vulnerabilities in gzip.

    bind9の修正は含まれてないので近々p3が出るのかな?

    • Re:5.4-RELEASE-p2 (スコア:1, 参考になる)

      by Anonymous Coward on 2005年06月13日 11時16分 (#750417)
      > bind9の修正は含まれてないので近々p3が出るのかな?

      5.4 の bind9 は 9.3.1 であり、この脆弱性はありません。
      影響があるのは 5.3 のみです。
      シェア
      親コメント

  • bind9 (スコア:1, 参考になる)

    by Anonymous Coward on 2005年06月12日 13時51分 (#750122)
    大抵の環境では影響なしと見ていいですかね。

    Security Advisery のページ [freebsd.org]を読む限り、bind9を運用しており、DNSSECを有効にしていて、dnssec-enable; を named.conf に書いている管理者

    以外には関係ない気がしますが。

    # アップデートは必要と思いますです
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人