セキュリティーと NetBSD

NetBSDプロジェクトはセキュリティーに対して、システムの他の部分にするのと同じアプローチを採用しています: 解決でありハックではありません。 NetBSDのセキュリティー問題は、 NetBSD セキュリティーオフィサー、および NetBSD セキュリティー警告チームによって取り扱われます。 NetBSDセキュリティー警告チームは、新たに報告されたセキュリティー問題に対応して、調査はもちろん、文書化、コードの更新を行います。またチームは、潜在的なセキュリティー問題を捜し出して除去するために、定期的なコードの検査を行っています。

NetBSD には Kerberos 5 (Heimdal)、SSH (OpenSSH) が統合されており、また、 IPv4 および IPv6 双方で IPsec を完全にサポートしています。加えて、あらゆるサービスはデフォルトで最も安全な設定になっており、新規インストールでは安全でないサービスはデフォルトでは使えなくなっています。

セキュリティー勧告

NetBSD に深刻なセキュリティー問題が発見され修正されると、問題の記述と修正法へのポインターを含んだ、セキュリティー勧告を発行します。これらは netbsd-announce メーリングリストおよび security-announce メーリングリストや、その他のメーリングリストおよび web サイトでアナウンスされます。さらに、このサイトに保管されるほか、 RSS フィードでも提供されます。

訳註: いくつかのセキュリティー勧告には、 www.NetBSD.org 翻訳プロジェクトによる日本語訳が存在します。この翻訳は以下のリンクから読むことができますが、 announce-ja@jp.NetBSD.org にも配送されます。ただし、これらは翻訳プロジェクトが参考のために提供するもので、翻訳者および翻訳プロジェクトは、その内容についていかなる保証もいたしません。

日本語訳についてのお問い合わせは、 www-changes-ja@jp.NetBSD.org までお願いします。原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。修正パッチ等の内容が改竄されていないことを確認するために PGP 署名のチェックを行なうには、原文を参照してください。

NetBSD リリース別の、最近の勧告一覧:

完全な一覧は、リリース書庫をご覧ください。

最近の勧告 (勧告番号の降順)

NetBSD-SA2010-013 UDP6 オプションの構文解析におけるローカルサービス不能攻撃
NetBSD-SA2010-012 OpenSSL TLS 拡張の構文解析における競合状態
NetBSD-SA2010-011 OpenSSL のメモリー二重解放による任意コード実行
NetBSD-SA2010-010 netsmb のバッファー長処理の誤り
NetBSD-SA2010-009 larn の権限処理の誤り
NetBSD-SA2010-008 sftp(1)/ftp(1)/glob(3) 関連のリソース枯渇
NetBSD-SA2010-007 libbz2 伸長コードの整数オーバーフロー
NetBSD-SA2010-006 CODA のバッファー長チェックの誤り
NetBSD-SA2010-005 NTP サーバーのサービス不能攻撃の脆弱性
NetBSD-SA2010-004 amd64 のページ毎の実行不可 (NX) ビットが無効化される問題
NetBSD-SA2010-003 azalia(4)/hdaudio(4) の負のミキサーインデックスによる panic
NetBSD-SA2010-002 OpenSSL の TLS 再交渉における中間者攻撃の脆弱性
NetBSD-SA2010-001 ファイルシステムモジュールの自動ロードによるサービス不能攻撃
NetBSD-SA2009-013 BIND named ダイナミックアップデートのサービス不能攻撃の脆弱性
NetBSD-SA2009-012 SHA2 実装のバッファーオーバーフローの可能性
NetBSD-SA2009-011 ISC DHCP サーバーのサービス不能攻撃の脆弱性
NetBSD-SA2009-010 ISC dhclient のサブネットマスクフラグのスタックオーバーフロー
NetBSD-SA2009-009 OpenSSL の DTLS メモリー枯渇および DSA 署名検証の脆弱性
NetBSD-SA2009-008 OpenSSL の ASN1 構文解析のサービス不能攻撃および CMS 署名検証の弱点
NetBSD-SA2009-007 hack(6) のバッファーオーバーフロー
NetBSD-SA2009-006 ntp のバッファーオーバーフロー
NetBSD-SA2009-005 SSH への平文回復攻撃
NetBSD-SA2009-004 NetBSD OpenPAM passwd(1) 変更の弱点
NetBSD-SA2009-003 proplib が不正な XML データ読み込みによってクラッシュする問題
NetBSD-SA2009-002 tcpdump の複数のサービス不能攻撃および任意のコードが実行可能な問題
NetBSD-SA2009-001 PF ファイアーウォールのリモートからのサービス不能攻撃
NetBSD-SA2008-015 ICMPv6 の Packet Too Big メッセージ
NetBSD-SA2008-014 ftpd(8) のクロスサイトリクエストフォージェリー
NetBSD-SA2008-013 IPv6 の近隣探索プロトコル
NetBSD-SA2008-012 racoon(8) のサービス不能攻撃

完全なリストは勧告アーカイブを参照してください。

NetBSD-current に対する勧告

場合によっては、セキュリティー問題が NetBSD-current に見つかり、すぐに解決する場合があります。そのような問題は多くの場合、短命で、 NetBSD リリースにまったく影響しません。この場合、我々は NetBSD-current に対する特別なパッチや勧告はリリースしません。その代わり、修正を含んだバージョンに更新することを勧めます。修正された日付は上記の勧告を参照してください。セキュリティー問題が NetBSD-current だけに影響するとわかった場合、 NetBSD セキュリティーオフィサーチームは、その問題および何を更新する必要があるかを詳しく説明したメールを current-users メーリングリストに送ります。このような問題に気づくことができるよう、NetBSD-current を使っている方は、current-users メーリングリストに参加することをおすすめします。 NetBSD-current を追跡している方は、既知の問題を解決するほか、新機能を使えるようにするため、システムをまめに更新するようにしてください。

セキュリティーの連絡

NetBSDプロジェクトは、二つのセキュリティーに関する連絡ポイントを持っています:

tech-security メーリングリストは、NetBSDのセキュリティーに関する問題を議論するための公開されたフォーラムです。
<security-alert@NetBSD.org> に電子メールを送ることによって、直接NetBSDプロジェクトにセキュリティー問題について問い合わせることができます。

セキュリティー問題のレポート

NetBSDにおけるセキュリティー問題をレポートする方法として、 NetBSDセキュリティー警告チーム <security-alert@NetBSD.org> に連絡する方法と、障害報告フォームもしくはNetBSDシステム上の send-pr(1) プログラムを使用して標準的なNetBSD障害レポートを送る方法があります。

機密扱いの情報は、NetBSDセキュリティーオフィサーの PGPキーを使って、暗号化するべきです。

セキュリティーパッチ

すべての発表された NetBSD セキュリティーパッチは、NetBSDプロジェクトの FTP serverの security/patches/ ディレクトリーから入手可能です。

NetBSD パッケージコレクション (pkgsrc)

NetBSD パッケージコレクションを使うと、数多くのサードパーティー製のアプリケーションのソースまたはバイナリーインストールが容易にできます。サードパーティー製のソフトウェアにはしばしばバグがありうること、そして、バグによってはマシンを権限奪取の危機にさらしうることを忘れてはいけません。このようなことに対処するため、 NetBSD では、インストール済パッケージの既知の脆弱性を容易に検証する方法を提供しています。

インストール済パッケージの脆弱性チェック

NetBSD pkgsrc セキュリティーチームとパッケージのメンテナーは、 pkgsrc に含まれる (あるいは含まれていた) パッケージの既知の脆弱性のリストを保守しています。このリストは、以下の NetBSD FTP サイトから入手できます:

http://ftp.NetBSD.org/pub/NetBSD/packages/vulns/pkg-vulnerabilities

audit-packages を使うと、このリストを自動的にダウンロードし、システムにインストールされているパッケージすべてについてセキュリティー検証をすることができます。

audit-packages は、ふたつの部分からできています。ひとつは download-vulnerability-list で、 NetBSD FTP サイトから脆弱性のリストをダウンロードするものです。もうひとつは audit-packages で、インストールされているパッケージに脆弱性がないかどうか検証するものです。脆弱性のあるパッケージがあった場合、次のように出力してくれます:

Package samba-2.0.9 has a local-root-shell vulnerability, see http://www.samba.org/samba/whatsnew/macroexploit.html

audit-packages では、pkg-vulnerabilities ファイルを毎日ダウンロードして、さらに、パッケージの検証を daily security script で行なうように設定することができます。これについての詳細は、 pkg_install の MESSAGE ファイルに書かれています。

pkgsrc のセキュリティー問題を報告する

pkgsrc のソフトウェアパッケージに audit-packages で検出されないセキュリティー問題があるとお気づきになったら、pkgsrc セキュリティーチームまでご連絡ください。

security/audit-packages から pkgtools/pkg_install へ移行する

2007 年 4 月、security/audit-packages パッケージのもつ機能が C で書き直され、pkg_install パッケージに統合されました。これにより、従前の security/audit-packages パッケージにくらべ、速度と機能の両面で、多くの改良がなされました。 2008 年 1 月、security/audit-packages パッケージが pkgsrc の CVS ツリーから削除されるとともに、 security/audit-packages パッケージの機能を置き換えられるようにするため、必要な pkg_install のバージョンが pkg_install-20071224 に上がりました。これに伴う移行の手順は、ほとんどの利用者が簡単にできるものとなっており、単に古いパッケージを削除 (pkg_delete audit-packages) してから、 pkg_install を更新するだけです。 pkgtools/pkg_install と security/audit-packages のインストールでは衝突するファイルがあるため、この順序を守ってください。さらに、従来のバイナリー (audit-packages および download-vulnerability-list) を参照しているスクリプト (たとえば crontab(5) ファイルや、security.local など) も、すべて更新する必要があります。

pkg_install-20071224 へ今すぐ移行できず、 security/audit-packages を使い続ける必要がある方のために、pkgsrc セキュリティーチームでは、少なくとも pkgsrc-2008Q1 枝が作成されるまでの間は、 pkg-vulnerabilities データベースの更新を続ける予定です。 security/audit-packages のサポートが完全に終わったときには、旧来の pkg-vulnerabilities データベースを、もはや更新されない旨をあらわすものに更新します。そのときには、その後の pkg-vulnerabilities データベースの更新を受け取るために、 pkg_install>=20071224 への更新をするようにしてください。

この移行に関して、質問や問題などがありましたら、 pkgsrc Security Team または適切な NetBSD メーリングリスト (たとえば pkgsrc-users や tech-pkg) のいずれかへご連絡ください。

セキュリティーリソース

多くのセキュリティー勧告、および他のセキュリティーリソースは、これらのサイトでオンラインに利用できます: