FreeBSD管理者に毎朝届くセキュリティーレポートメール。
いつもは、上から下までスクロールさせて終わりですが、今朝は気になる情報が含まれていました。
Checking for security vulnerabilities in base (userland & kernel): Fetching vuln.xml.xz: .......... done FreeBSD-kernel-13.2 is vulnerable: FreeBSD -- Remote denial of service in IPv6 fragment reassembly CVE: CVE-2023-3107 WWW: https://vuxml.FreeBSD.org/freebsd/3dabf5b8-47c0-11ee-8e38-002590c1f29c.html 1 problem(s) in 1 installed package(s) found. vulnxml file up-to-date FreeBSD-13.2 is vulnerable: FreeBSD -- Network authentication attack via pam_krb5 CVE: CVE-2023-3326 WWW: https://vuxml.FreeBSD.org/freebsd/9b0d9832-47c1-11ee-8e38-002590c1f29c.html FreeBSD -- Network authentication attack via pam_krb5 CVE: CVE-2023-3326 WWW: https://vuxml.FreeBSD.org/freebsd/41af0277-47bf-11ee-8e38-002590c1f29c.html FreeBSD -- bhyve privileged guest escape via fwctl CVE: CVE-2023-3494 WWW: https://vuxml.FreeBSD.org/freebsd/ab437561-47c0-11ee-8e38-002590c1f29c.html FreeBSD -- Potential remote code execution via ssh-agent forwarding CVE: CVE-2023-38408 WWW: https://vuxml.FreeBSD.org/freebsd/291d0953-47c1-11ee-8e38-002590c1f29c.html 4 problem(s) in 1 installed package(s) found.
脆弱性を含んでいるパッケージの場合は、pkg upgrade コマンド一発でOS再起動不要ですが、今回はどうもカーネルっぽい。OSのマイナーバージョンを最新にした後、OS再起動となります。
とはいえ、FreeBSD の場合は、”freebsd-update fetch install ” コマンドを発行して更新が終了した後、OSを再起動すればいいだけ。Windows OSの更新と変わりません。マウスで作業するかキーボードからコマンドを打つかの違い。
ちょっとやばそうと思って、脆弱性内容の確認を行わずOSを更新しました(内容確認せずにOSを上げても特に問題は無い。むしろ定期的に行う方がいい。)が、内容を読んでみると、
- セグメント化された IPv6 パケットを受信してサービスが停止する可能性
- sshd の認証関係:krb5と書かれているので暗号化ライブラリ(kerberosライブラリ?)
うちは、IPv6 契約していないので、そもそもIPv6パケットは届かないと思う。
ssh も外部から接続を許可していないし、内部もSSH使うの私だけだし。login プロンプトさえ出てこないはず。
即日OS更新を行わなくても、大丈夫そうな内容ではありました。
それにしても、カーネル関係のセキュリティレポートが届いたのはずいぶんと久しぶりという印象。FreeBSD OSは管理が簡単で、安心できます。