FreeBSD13: セキュリティーレポート 2023/09/03

FreeBSD管理者に毎朝届くセキュリティーレポートメール。

いつもは、上から下までスクロールさせて終わりですが、今朝は気になる情報が含まれていました。

Checking for security vulnerabilities in base (userland & kernel):
Fetching vuln.xml.xz: .......... done
FreeBSD-kernel-13.2 is vulnerable:
  FreeBSD -- Remote denial of service in IPv6 fragment reassembly
  CVE: CVE-2023-3107
  WWW: https://vuxml.FreeBSD.org/freebsd/3dabf5b8-47c0-11ee-8e38-002590c1f29c.html

1 problem(s) in 1 installed package(s) found.
vulnxml file up-to-date
FreeBSD-13.2 is vulnerable:
  FreeBSD -- Network authentication attack via pam_krb5
  CVE: CVE-2023-3326
  WWW: https://vuxml.FreeBSD.org/freebsd/9b0d9832-47c1-11ee-8e38-002590c1f29c.html

  FreeBSD -- Network authentication attack via pam_krb5
  CVE: CVE-2023-3326
  WWW: https://vuxml.FreeBSD.org/freebsd/41af0277-47bf-11ee-8e38-002590c1f29c.html

  FreeBSD -- bhyve privileged guest escape via fwctl
  CVE: CVE-2023-3494
  WWW: https://vuxml.FreeBSD.org/freebsd/ab437561-47c0-11ee-8e38-002590c1f29c.html

  FreeBSD -- Potential remote code execution via ssh-agent forwarding
  CVE: CVE-2023-38408
  WWW: https://vuxml.FreeBSD.org/freebsd/291d0953-47c1-11ee-8e38-002590c1f29c.html

4 problem(s) in 1 installed package(s) found.

脆弱性を含んでいるパッケージの場合は、pkg upgrade コマンド一発でOS再起動不要ですが、今回はどうもカーネルっぽい。OSのマイナーバージョンを最新にした後、OS再起動となります。

とはいえ、FreeBSD の場合は、”freebsd-update fetch install ” コマンドを発行して更新が終了した後、OSを再起動すればいいだけ。Windows OSの更新と変わりません。マウスで作業するかキーボードからコマンドを打つかの違い。

ちょっとやばそうと思って、脆弱性内容の確認を行わずOSを更新しました(内容確認せずにOSを上げても特に問題は無い。むしろ定期的に行う方がいい。)が、内容を読んでみると、

  1. セグメント化された IPv6 パケットを受信してサービスが停止する可能性
  2. sshd の認証関係:krb5と書かれているので暗号化ライブラリ(kerberosライブラリ?)

うちは、IPv6 契約していないので、そもそもIPv6パケットは届かないと思う。
ssh も外部から接続を許可していないし、内部もSSH使うの私だけだし。login プロンプトさえ出てこないはず。
即日OS更新を行わなくても、大丈夫そうな内容ではありました。

それにしても、カーネル関係のセキュリティレポートが届いたのはずいぶんと久しぶりという印象。FreeBSD OSは管理が簡単で、安心できます。

コメントを残す