毎朝届く FreeBSD OSからのセキュリティーレポートをチェックしていたら、カーネル13.2_x にOSの脆弱性が見つかったとありました。
これが、なかなか微妙。(以下)
Checking for security vulnerabilities in base (userland & kernel): Database fetched: Sat Oct 7 03:27:40 JST 2023 FreeBSD-kernel-13.2_3 is vulnerable: FreeBSD -- arm64 boot CPUs may lack speculative execution protections CVE: CVE-2023-5370 WWW: https://vuxml.FreeBSD.org/freebsd/162a675b-6251-11ee-8e38-002590c1f29c.html FreeBSD -- copy_file_range insufficient capability rights check CVE: CVE-2023-5369 WWW: https://vuxml.FreeBSD.org/freebsd/e261e71c-6250-11ee-8e38-002590c1f29c.html FreeBSD -- msdosfs data disclosure CVE: CVE-2023-5368 WWW: https://vuxml.FreeBSD.org/freebsd/fefcd340-624f-11ee-8e38-002590c1f29c.html 3 problem(s) in 1 installed package(s) found.
一つ目は、FreeBSD arm64 ブート時、CPUが命令を投機実行する場合のチェックが不十分という内容っぽい。
詳しいことはわかりませんけど、OSブート時なんて所有者にしか関係ないじゃん。しかも、CPUがarm64の場合だけだし。
二つ目は、ファイルをごとコピーじゃなくて、あるファイルの中のA点からB店までをコピーしたいというケースの権限チェックが不十分であるということっぽい。
これも、所有者しかいないサーバーでは気にする必要はなさそうだけど、Webサーバーの場合、プロセスが中で何やっているかわかんないから、ひょっとすると何か影響あるかも。でも、ファイルの一部コピーなんてプログラム中で使う?(と、思うから、プログラムの脆弱性チェックが不十分になるんでしょうね。)
三つめが、MS-DOSファイルシステム上のデータ漏洩。
問題の重要性がわからないのだけど、FreeBSDは他OSのファイルシステムをマウントしてデータを取り扱えます。例えば、MS-DOS HDDからOSが起動しなくなったようなケースで、HDDをFreeBSDにマウントして、重要データを救出するような作業を20年くらい前はよくやってました。今でも、USB FDDを接続して古いフロッピーディスクからデータを読み出すような機能が残っているんじゃないかと思います。こういう救出劇はよいとして、MD-DOSとFreeBSDのデュアルブートになっているようなケースや Raspberry Piのように、一度MS-DOSが起動して、そこからFreeBSDを起動させるようになっているファイルシステムでMS-DOS側のファイルシステムを権限がない人が読みだせちゃうというものかと想像しました。
いずれも(2番目がちょっと微妙だけど)、対象FreeBSDサーバーにコマンドアクセスできるユーザーがいるケースの脆弱性のように思えます。1番目はCPUが対象外だし、3番目はMS-DOS FSを今はもう使っていない。
これらのために、今、対策(パッチのインストールと再起動)しなくちゃいけないの?と、考えるとなかなか微妙。しばらく放置してもいい内容と思いますが、怖いのは、更に新しい重大な脆弱性が見つかってレポートが届いた時に、従来の脆弱性と思って気付かずに見逃してしまうこと。
なので、パッチは当てておいて、再起動は夜に行うことにしましょう。
コマンドだけ多叩いておきました。
The following files will be updated as part of updating to 13.2-RELEASE-p4: /bin/freebsd-version /boot/kernel/kernel /boot/kernel/msdosfs.ko /usr/lib/debug/boot/kernel/kernel.debug /usr/lib/debug/boot/kernel/msdosfs.ko.debug /usr/sbin/freebsd-update
ちいさ。