またまた、FreeBSD の脆弱性レポートが届きました。
日ごとのセキュリティレポートに以下の文が含まれていました。
Checking for security vulnerabilities in base (userland & kernel): Fetching vuln.xml.xz: .......... done 0 problem(s) in 0 installed package(s) found. vulnxml file up-to-date FreeBSD-13.2_10 is vulnerable: DNSSEC validators -- denial-of-service/CPU exhaustion from KeyTrap and NSEC3 vulnerabilities CVE: CVE-2023-50868 CVE: CVE-2023-50387 WWW: https://vuxml.FreeBSD.org/freebsd/21a854cc-cac1-11ee-b7a7-353f1e043d9a.html 1 problem(s) in 1 installed package(s) found.
内容は、DNSSEC を使っていると、サービス妨害を受ける可能性があるという脆弱性のようです。
我が家の場合は、DNSはプロバイダーに引っ越し済みだし、DNSSEC は使っていないから、サービスには問題はないはずですが、とりあえず OS更新をしておくことにしました。
いつものように freebsd-update で、OSを更新。置き換わるファイルは、以下のとおり。
The following files will be updated as part of updating to 13.2-RELEASE-p11: /bin/freebsd-version /boot/kernel/if_wg.ko /boot/kernel/kernel /usr/lib/debug/boot/kernel/if_wg.ko.debug /usr/lib/debug/boot/kernel/kernel.debug /usr/lib/libprivateunbound.a /usr/lib/libprivateunbound.so.5 /usr/lib/libprivateunbound_p.a /usr/lib32/libprivateunbound.a /usr/lib32/libprivateunbound.so.5 /usr/lib32/libprivateunbound_p.a /usr/sbin/local-unbound /usr/sbin/local-unbound-anchor /usr/sbin/local-unbound-checkconf /usr/sbin/local-unbound-control
カーネルが置き換わってしまったことと、その他ライブラリと見慣れないコマンドがリプレースされ、対策完了となりましたが、問題は、このあと。
WARNING: FreeBSD 13.2-RELEASE-p10 is approaching its End-of-Life date. It is strongly recommended that you upgrade to a newer release within the next 2 months.
FreeBSD13.3が正式にリリースとなり、私が 今 使っている FreeBSD13.2 が End-of-Life サイクルに入ってしまった!近日中に、13.3 に更新することを考えることになります。
13.2 を使い続けても、即セキュリティー面での問題が発生することはありませんが、ports パッケージのメンテナンスが遅れたり、更新されなかったりするため、ApacheやWordPressに脆弱性が見つかってしまうと、問題が発生する可能性がありますので、無意味に抵抗してもいいことはない。
幸い、サーバーはバイナリーメンテナンス可能な AMD64環境なので、2か月以内に更新することにしましょう。問題はソースメンテナンスの Raspberry Pi2 で動いている 32bit FreeBSD/arm7 の扱い。こっちはどうしよう?ってところ。