FreeBSD、3件のセキュリティアドバイザリを公開

あるAnonymous Coward のタレこみより。The FreeBSD Projectが3件のセキュリティアドバイザリ「FreeBSD-SA-14:07.devfs」「FreeBSD-SA-14:08.tcp」「FreeBSD-SA-14:09.openssl」を公開している(マイナビニュースの記事ITproの記事)。

SA-14:07.devfs (CVE-2014-3001) は、devfsのデフォルトのルールセットがブート時に読み込まれないため、jail環境のプロセスからホストシステムの制限されたリソースにアクセスが可能になるというもの。superuserの権限で実行されているjailプロセスではシステム上のすべてのデバイスにアクセス可能となるため、情報漏洩や特権の昇格を引き起こす可能性があるとのこと。

SA-14:08.tcp (CVE-2014-3000) は、TCPパケットのリアセンブル終了後に同機能を繰り返し呼び出すことで、リアセンブルで使用したスタックメモリーにアクセスできるというもの。攻撃者は特別に細工された一連のパケットを送り付けることでカーネルをクラッシュさせることが可能となる。また、極めて困難ではあるが、攻撃方法によってはカーネルメモリーの一部を外部から取得することも可能になるとのこと。

SA-14:09.openssl (CVE-2010-5298) は、OpenSSLライブラリによる使用が終わる前にバッファーが解放されてしまうことがあるため、解放されたバッファーに対して同一プロセス内の異なるSSL接続がデータを書き込むことが可能というもの。これを攻撃者が利用すると、他の接続に対してデータをインジェクションできる可能性があるという。

それぞれ、脆弱性が修正されたバージョンへのアップグレードまたはパッチの適用による更新が推奨されているが、SA-14:07.devfsとSA-14:08.tcpについては、回避方法も紹介されている。

スラッシュドットのコメントを読む | スラッシュドットにコメントを書く | ITセクション | セキュリティ | バグ | BSD

あわせて読みたい

気になるキーワード

スラドの記事をもっと見る 2014年5月3日のIT記事
この記事にコメントする

\ みんなに教えてあげよう! /

次に読みたい関連記事「セキュリティ」のニュース

次に読みたい関連記事「セキュリティ」のニュースをもっと見る

トピックス

今日の主要ニュース 国内の主要ニュース 海外の主要ニュース 芸能の主要ニュース スポーツの主要ニュース トレンドの主要ニュース おもしろの主要ニュース コラムの主要ニュース 特集・インタビューの主要ニュース

ITニュースアクセスランキング

ITランキングをもっと見る

コメントランキング

コメントランキングをもっと見る

トレンドの人気のキーワード一覧

新着キーワード一覧

このカテゴリーについて

最新IT業界情報やiPhoneやAndroidやガジェット、話題のサービス、IoT情報、スタートアップにまつわるニュースをお届け中。

通知(Web Push)について

Web Pushは、エキサイトニュースを開いていない状態でも、事件事故などの速報ニュースや読まれている芸能トピックなど、関心の高い話題をお届けする機能です。 登録方法や通知を解除する方法はこちら。