今朝のセキュリティレポートに以下の文が含まれていました。またまた、FreeBSD の新たな脆弱性が見つかったもよう。
FreeBSD-kernel-13.2_4 is vulnerable: FreeBSD -- NFS client data corruption and kernel memory disclosure CVE: CVE-2023-6660 WWW: https://vuxml.FreeBSD.org/freebsd/8eefff69-997f-11ee-8e38-002590c1f29c.html
今回の脆弱性内容は、詳細レポートをを確認するまでもなく明白で、NFSでファイルシステムをマウントしているなら、アップデートする方がいいってこと。
NFSはカーネルの機能なので、パッチを当てたら再起動が必要になるでしょう。
Raspberry Pi 4 で動いている FreeBSD/arm64 で実行してみました。
# freebsd-update fetch install src component not installed, skipped Looking up update.FreeBSD.org mirrors... 3 mirrors found. Fetching metadata signature for 13.2-RELEASE from update2.freebsd.org... done. Fetching metadata index... done. Fetching 2 metadata patches.. done. Applying metadata patches... done. Inspecting system... done. Preparing to download files... done. Fetching 15 patches.....10.. done. Applying patches... done. The following files will be updated as part of updating to 13.2-RELEASE-p8: /bin/freebsd-version /boot/kernel/kernel /boot/kernel/kernel.bin /boot/kernel/nfscl.ko /boot/kernel/pf.ko /boot/kernel/zfs.ko /lib/libzpool.so.2 /rescue/[ /rescue/bectl /rescue/bunzip2 /rescue/bzcat 略 /usr/lib/debug/boot/kernel/zfs.ko.debug /usr/lib/debug/lib/libzpool.so.2.debug /usr/lib/libzpool.a Installing updates... Restarting sshd after upgrade Performing sanity check on sshd configuration. Stopping sshd. Waiting for PIDS: 1173. Performing sanity check on sshd configuration. Starting sshd. Scanning //usr/share/certs/blacklisted for certificates... Scanning //usr/share/certs/trusted for certificates... Scanning //usr/local/share/certs for certificates... done. 再起動 # uname -a FreeBSD pc80.lifewithunix.jp 13.2-RELEASE-p8 FreeBSD 13.2-RELEASE-p8 GENERIC arm64
無事に、FreeBSD 13.2-p8 に更新されました。
私の場合、公開しているサーバーではNFSを使うことは無いので急いでパッチを当てる必要はなし。ただ、レポートに毎回脆弱性情報が含まれるのも気分が悪いので、タイミングを見てパッチを当てることにしましょう。