FreeBSD13.x : libnv 関係の脆弱性

毎朝届く FreeBSD のセキュリティーレポートに、9月上旬、以下の文章が含まれていました。

Checking for security vulnerabilities in base (userland & kernel):
Fetching vuln.xml.xz: .......... done
FreeBSD-kernel-13.3_3 is vulnerable:
FreeBSD -- Multiple vulnerabilities in libnv
CVE: CVE-2024-45288
CVE: CVE-2024-45287
WWW: https://vuxml.FreeBSD.org/freebsd/8d1f9adf-6b4f-11ef-9a62-002590c1f29c.html

FreeBSD -- Multiple issues in ctl(4) CAM Target Layer
CVE: CVE-2024-43110
CVE: CVE-2024-42416
CVE: CVE-2024-8178
WWW: https://vuxml.FreeBSD.org/freebsd/9bd5e47b-6b50-11ef-9a62-002590c1f29c.html

2 problem(s) in 1 installed package(s) found.
vulnxml file up-to-date
FreeBSD-13.3_4 is vulnerable:
FreeBSD -- umtx Kernel panic or Use-After-Free
CVE: CVE-2024-43102
WWW: https://vuxml.FreeBSD.org/freebsd/7e079ce2-6b51-11ef-9a62-002590c1f29c.html

FreeBSD -- bhyve(8) privileged guest escape via USB controller
CVE: CVE-2024-32668
WWW: https://vuxml.FreeBSD.org/freebsd/4edaa9f4-6b51-11ef-9a62-002590c1f29c.html

FreeBSD -- Multiple vulnerabilities in libnv
CVE: CVE-2024-45288
CVE: CVE-2024-45287
WWW: https://vuxml.FreeBSD.org/freebsd/8d1f9adf-6b4f-11ef-9a62-002590c1f29c.html

libnv ってどんなライブラリ?と思いながらも、FreeBSD/x64 の場合は、バイナリーレベルで対策可能なので、特に考えることなく、freebsd-update コマンドで最新パッチをインストール。
面倒なことに、kernel も置き換えられたため、OS再起動が必要でした。(本サーバーに関しては、OS再起動するといろいろ手動で行う作業が発生するので、頻繁には行いたくない。)

これで安心していたら、9/22 またもやセキュリティーレポートに脆弱性が含まれていました。

Checking for security vulnerabilities in base (userland & kernel):
Fetching vuln.xml.xz: .......... done
FreeBSD-kernel-13.3_6 is vulnerable:
FreeBSD -- Integer overflow in libnv
CVE: CVE-2024-45287
WWW: https://vuxml.FreeBSD.org/freebsd/93c12fe5-7716-11ef-9a62-002590c1f29c.html

1 problem(s) in 1 installed package(s) found.
vulnxml file up-to-date
FreeBSD-13.3_6 is vulnerable:
FreeBSD -- Integer overflow in libnv
CVE: CVE-2024-45287
WWW: https://vuxml.FreeBSD.org/freebsd/93c12fe5-7716-11ef-9a62-002590c1f29c.html

FreeBSD -- bhyve(8) out-of-bounds read access via XHCI emulation
CVE: CVE-2024-41721
WWW: https://vuxml.FreeBSD.org/freebsd/1febd09b-7716-11ef-9a62-002590c1f29c.html

これまた libnv 関係の脆弱性。最近頻繁に脆弱性が発見される libnv って何だ?と、man libnv を行うと、これまたよくわからないマニュアルが出てきて、name/value のライブラリーだそうです。

よくわからないけど、再び 「freebsd-update fetch install」コマンドとOS再起動 で対処。

OSバージョンが、13.3-RELEASE-p7 になりました。

Updated: 2024/09/22 at 23:42
タグ: ,

コメントを残す