FreeBSD/arm13.2 : 2024/02セキュリティレポートの脆弱性対策

毎日届くセキュリティレポートですが、2024/02/14 あたりのものに以下の脆弱性が記録されるようになりました。(CPUアーキテクチャとバージョンによって、レポート初日が違う)

Checking for security vulnerabilities in base (userland & kernel):
Fetching vuln.xml.xz: .......... done
FreeBSD-kernel-13.2_9 is vulnerable:
  FreeBSD -- jail(2) information leak
  CVE: CVE-2024-25941
  WWW: https://vuxml.FreeBSD.org/freebsd/46a29f83-cb47-11ee-b609-002590c1f29c.html

1 problem(s) in 1 installed package(s) found.
vulnxml file up-to-date
FreeBSD-13.2_9 is vulnerable:
  FreeBSD -- bhyveload(8) host file access
  CVE: CVE-2024-25940
  WWW: https://vuxml.FreeBSD.org/freebsd/c62285cb-cb46-11ee-b609-002590c1f29c.html

1 problem(s) in 1 installed package(s) found.

データベースクラッシュでバタバタしており、ようやく一昨日前から対策開始。

内容を見ると、jail と bhybeload 仮想環境関係の脆弱性の模様で、私が運用しているシステムには関係なさそう。放置でいいのですけど、レポートに毎日記載されるのが嫌なので対策を施すことにします。

  1. 64bit FreeBSD 13.2 は、freebsd-update コマンド&リブートで一発対策できる。
  2. カーネルと bhybeload というコマンドを更新すれば良さそうですが、依存関係がわからないので、32bit FreeBSDはソースビルドしてカーネルとコマンドを入れ替えることにします。

FreeBSD/arm での対策
USB HDD で稼働しているRPI2 のファイルシステム /usr 下を Micro SDファイルシステムで稼働している別の RPI2 に NFSマウント。
マイクロSDシステムのRPI2からソースビルド。インストールだけ両方で行うというやり方。

  1. /usr/src で git pull してソースファイルを更新。
  2. /usr/src にて、make -j4 kernel して、リブート。これでカーネル更新完了。2,3時間の作業でした。
  3. 続いて、/usr/src にて、make -j4 buildworld と make installworld してリブート。RPI2で、36~38時間くらいの作業でした。

この作業、今回で、2回目。
作業には慣れてきましたけど、buildworld に1回あたり約36時間掛かるというのが、管理者にとっては結構苦痛。外部公開しているホストじゃないからあわてて更新する必要はないものの、放置は出来ないのでいずれ対策が必要になります。

% uname -a
FreeBSD db1.lifewithunix.jp 13.2-RELEASE-p10 FreeBSD 13.2-RELEASE-p10 GENERIC arm

FreeBSD のバージョンが13.2-p10 に上がりました。

コメントを残す