Debian apache2 のアップデート

Debian Stretch においてウェブサーバ Apache2 のアップデート(2.4.25-3+deb9u2から2.4.25-3+deb9u3)がありました。

Debian Security Advisory
DSA-3980-1 apache2 — security update
https://www.debian.org/security/2017/dsa-3980

Hanno Boeck により、ウェブサーバ Apache の .htaccess ファイルにある Limit ディレクティブの不適切な解釈によりメモリリークを招く可能性があることを発見したそうです。

旧安定版(Jessie)の場合、この問題は 2.4.10-10 + deb8u11 で修正済み。

安定版(Stretch)の場合、この問題は 2.4.25-3 + deb9u3 で修正済み。

上記の脆弱性対策のために Apache2 パッケージをアップデートしてください。

 

広告

Debian Jessie カーネル 3.16.43-2+deb8u3 へアップデート

Debian Jessie のカーネルがアップデート(3.16.43-2+deb8u2 から 3.16.43-2+deb8u3 へ)しました。

Linux カーネルの特権昇格、サービス拒否、情報漏えいなどの脆弱性が存在しているそうです。
“Several vulnerabilities have been discovered in the Linux kernel that may lead to a privilege escalation, denial of service or information leaks.”

Debian Security Advisory
DSA-3945-1 linux — security update
https://www.debian.org/security/2017/dsa-3945

.

弊ブログにて公開している無線 LAN アダプタのドライバ・モジュールを使用している読者さんは、モジュールの再インストールを行ってください。一緒に公開しているドライバ・モジュールのアップデート・スクリプトの modules-update.sh を使うと便利です。

# cd (ドライバ・モジュールを展開したディレクトリ)
# ./modules-update.sh

.

FreeBSD 10.3 の p21 (OpenSSH) アップデート

FreeBSD 10.3 へ p21 セキュリティ・アップデート (OpenSSH)が到着しました。その他、FreeBSD 11 系へ二点のエラッタ・アップデート(vnet, pf)が到着しました。

OpenSSH の脆弱性は、OpenSSH のビルトイン・パスワード認証(PasswordAuthentication)におけるパスワードの長さに制限が無いことが問題だそうです。攻撃者が長いパスワードを送信することによって OpenSSH サーバの CPU を異常に専有してしまうそうです。FreeBSD では、初期値として、このビルトイン・パスワード認証(PasswordAuthentication)が無効となっています。このパスワード認証(PasswordAuthentication)を有効にしているシステムでは影響を受けるそうです。パスワード認証(PasswordAuthentication)の有効・無効は以下の設定ファイルです。

/etc/ssh/sshd_config

そして VNET のエラッタは POSIX 非同期 I/O を使用するとカーネル・パニックになるそうです。

次に パケットフィルタ PF のエラッタは、housekeeping thread (pf_purge_thread) が初期化されていない変数を使用する可能性があるそうです。そのためゼロ除算などを行ってカーネル・パニックに陥る可能性があるそうです。そして「回避策はない」とエラッタの解説ページに記載されています(笑)。PF を使用していないシステムの場合には問題はなく、そして PF を使用しているシステムでも一度正常に起動したならば、次の再起動まで問題なく動作するのだそうです(爆笑)。

FreeBSD-SA-17:06.openssh
— OpenSSH Denial of Service vulnerability —
https://www.freebsd.org/security/advisories/FreeBSD-SA-17:06.openssh.asc

FreeBSD-EN-17:07.vnet
— VNET kernel panic with asynchronous I/O —
https://www.freebsd.org/security/advisories/FreeBSD-EN-17:07.vnet.asc

FreeBSD-EN-17:08.pf
— pf(4) housekeeping thread causes kernel panic —
https://www.freebsd.org/security/advisories/FreeBSD-EN-17:08.pf.asc

.

/usr/src/UPDATING の内容

20170810 p21
FreeBSD-SA-17:06.openssh
— Fix OpenSSH Denial of Service vulnerability. [SA-17:06]

 .

ソースツリーの更新

subversion でソースツリーを更新しました。

# svn update /usr/src
Updating '/usr/src':
U /usr/src/UPDATING
U /usr/src/crypto/openssh/auth-passwd.c
U /usr/src/sys/conf/newvers.sh
Updated to revision 322368.

.

ユーザランドの再ビルド

今回のアップデートでは、ユーザランドの再ビルドが必要です。

# cd /usr/src
# make buildworld

 .

ユーザランドのインストール

# make installworld

 .

マシンの再起動

# reboot

.

Debian heimdal, apache2, imagemagick のアップデート

Debian Jessie と Stretch へ heimdal と apache2 と imagemagick のセキュリティ・アップデートが到着しました。

Debian Security Advisory
DSA-3912-1 heimdal — security update
https://www.debian.org/security/2017/dsa-3912

Heimdal の中間者攻撃(man-in-the-middle attack)を受ける脆弱性を修正したそうです。

Debian Security Advisory
DSA-3913-1 apache2 — security update
https://www.debian.org/security/2017/dsa-3913

ウェブサーバの apache2 にある認証モジュール(mod_auth_digest)が上手く初期化できないことによるサービス拒否が発生することがあるそうです。

Debian Security Advisory
DSA-3914-1 imagemagick — security update
https://www.debian.org/security/2017/dsa-3914

imagemagick にあったいくつかの脆弱性が修正されました。メモリ処理などの問題によって以下のファイル形式のファイルに問題が生じる可能性があるそうです。

RLE, SVG, PSD, PDB, DPX, MAT, TGA, VST, CIN, DIB, MPC, EPT, JNG, DJVU, JPEG, ICO, PALM, MNG

FreeBSD 10.3 の p20 (heimdal, hyperv) アップデート

FreeBSD 10.3 へ p20 アップデート (heimdal, hyperv)が到着しました。

Heimdalは、Kerberos 5 のネットワーク認証プロトコルを実装しています。この Kerberos プロトコルでは、”tickets” (チケット) を利用してユーザを認証します。この “tickes” の中にプログラミングのエラーが存在しています。このエラーを使って “man-in-the-middle (MITM、中間者攻撃) attack” による盗聴被害を受ける可能性があるそうです。

そして Hyper-V のエラーは、マシンの起動時にディスクからの INQUIRY 応答が完了する前にディスクを切り離してしまう可能性があるそうです。そのため hyper-V 上のゲスト・システムが起動不良となってしまうそうです。

FreeBSD-SA-17:05.heimdal
— heimdal KDC-REP service name validation vulnerability —
https://www.freebsd.org/security/advisories/FreeBSD-SA-17:05.heimdal.asc

FreeBSD-EN-17:06.hyperv
— Boot compatibility improvements with Azure VMs —
https://www.freebsd.org/security/advisories/FreeBSD-EN-17:06.hyperv.asc

.

/usr/src/UPDATING の内容

20170712 p20
FreeBSD-SA-17:05.heimdal
— Fix heimdal KDC-REP service name validation vulnerability [SA-17:05]
FreeBSD-EN-17:06.hyperv
— Boot compatibility improvements with Azure VMs. [EN-17:06]

 .

ソースツリーの更新

subversion でソースツリーを更新しました。

# svn update /usr/src
Updating '/usr/src':
U /usr/src/crypto/heimdal/lib/krb5/ticket.c
U /usr/src/UPDATING
U /usr/src/sys/cam/ata/ata_xpt.c
U /usr/src/sys/conf/files.amd64
U /usr/src/sys/conf/files.i386
U /usr/src/sys/conf/newvers.sh
U /usr/src/sys/dev/hyperv/include/hyperv.h
U /usr/src/sys/dev/hyperv/storvsc/hv_storvsc_drv_freebsd.c
U /usr/src/sys/dev/hyperv/storvsc/hv_vstorage.h
U /usr/src/sys/dev/hyperv/utilities/hv_kvp.c
U /usr/src/sys/dev/hyperv/vmbus/hv_vmbus_drv_freebsd.c
U /usr/src/sys/sys/eventhandler.h
U /usr/src/sys/x86/x86/intr_machdep.c
Updated to revision 320944.

.

ユーザランドとカーネルの再ビルド

今回のアップデートでは、ユーザランドとカーネルの再ビルドが必要です。

# cd /usr/src
# make buildworld
# make buildkernel KERNCONF=MYKERNEL

 .

カーネルとユーザランドのインストール

# make installkernel
# make installworld

 .

マシンの再起動

# reboot

.

Debian Bind9 9.9.5.dfsg-9+deb8u12 へアップデート

Debian Jessie へドメイン名から IP アドレスの引当(名前の解決)を行う Bind9 (named) のアップデート(9.9.5.dfsg-9+deb8u11から9.9.5.dfsg-9+deb8u12へ)が到着しました。

Debian Stretch のアップデート・バージョンは、9.10.3.dfsg.P4-12.3+deb9u1 になります。

Debian Security Advisory
DSA-3904-1 bind9 — security update
https://www.debian.org/security/2017/dsa-3904