毎朝届くセキュリティレポートに、以下の文が含まれるようになりました。
FreeBSD-kernel-13.2_4 is vulnerable: FreeBSD -- TCP spoofing vulnerability in pf(4) CVE: CVE-2023-6534 WWW: https://vuxml.FreeBSD.org/freebsd/9cbbc506-93c1-11ee-8e38-002590c1f29c.html
内容を見てみると、TCPパケットのシーケンス番号を偽るパケットのチェックが不十分、つまり、悪意を持ってシーケンス番号を偽るパケットが送られると、チェックが不十分で、セッションを乗っ取られる可能性があるってところでしょう。
シーケンス番号を予測して偽造パケットを生成するっていうのは、超難関。しかも、乗っ取って意味があるセッションて、DNSやルーティングテーブルで、私のサーバーでは外部サービスしていないパケット。
しばらく放置しておいても問題なさそうですけど、freebsd-update コマンドで更新しておくことにしました。
freebsd-update fetch コマンドを実行してみると、
The following files will be updated as part of updating to 13.2-RELEASE-p7: /bin/freebsd-version /boot/kernel/pf.ko /boot/kernel/zfs.ko /lib/libzpool.so.2 /rescue/[ /rescue/bectl /rescue/bsdlabel 略 /usr/lib/clang/14.0.5/lib/freebsd/libclang_rt.xray-x86_64.a /usr/lib/debug/boot/kernel/pf.ko.debug /usr/lib/debug/boot/kernel/zfs.ko.debug /usr/lib/libzpool.a /usr/lib32/libzpool.a /usr/lib32/libzpool.so.2
となり、kernel モジュールの一部は置き換わるものの、kernel は置き換わらない。その他、ライブラリの一部が書き換わるくらいで、リブートしなくても良さそう。メモリーにロード済みモジュールだと新しいものに置き換わるのに時間が掛かるかもしれないけど、zfs は使って無いし、pf も心配なさそう。再起動できるタイミングなら再起動する方がいいことは間違いないのですけどね。
「freebsd-update install」 して、更新を終わりにしておきました。
それでも、近日中に何か機会があれば、再起動することにしましょう。