またまた、FreeBSD のデイリーセキュリティレポートに OpenSSH の脆弱性が含まれてきました。
FreeBSD-13.4_3 is vulnerable: FreeBSD -- Multiple vulnerabilities in OpenSSH CVE: CVE-2025-26466 CVE: CVE-2025-26465 WWW: https://vuxml.FreeBSD.org/freebsd/a8f1ee74-f267-11ef-87ba-002590c1f29c.html
単純に、FreeBSD 13.4-p4 に更新せよということのようです。
まあ、脆弱性発見時の毎度の対策。
プライベートネットに設置してある FreeBSD 13.4 p3 で「freebsd-update fetch install」を試したところ、以下の通り、kernel の置き換えは無し。13.4p3 → 13.4p4 の場合は リブートしなくて済みそうです。
Looking up update.FreeBSD.org mirrors... 3 mirrors found. Fetching metadata signature for 13.4-RELEASE from update2.freebsd.org... done. Fetching metadata index... done. Fetching 2 metadata patches.. done. Applying metadata patches... done. Inspecting system... done. Preparing to download files... done. Fetching 17 patches.....10... done. Applying patches... done. The following files will be updated as part of updating to 13.4-RELEASE-p4: /bin/freebsd-version /usr/bin/slogin /usr/bin/ssh /usr/bin/ssh-add /usr/bin/ssh-agent /usr/bin/ssh-keygen /usr/lib/debug/usr/bin/ssh-add.debug /usr/lib/debug/usr/bin/ssh-agent.debug /usr/lib/debug/usr/bin/ssh-keygen.debug /usr/lib/debug/usr/bin/ssh.debug /usr/lib/debug/usr/lib/libprivatessh.so.5.debug /usr/lib/debug/usr/libexec/ssh-keysign.debug /usr/lib/debug/usr/sbin/sshd.debug /usr/lib/libprivatessh.a /usr/lib/libprivatessh.so.5 /usr/lib/libprivatessh_p.a /usr/libexec/ssh-keysign /usr/sbin/sshd Installing updates... Restarting sshd after upgrade Performing sanity check on sshd configuration. Stopping sshd. Waiting for PIDS: 2116. Performing sanity check on sshd configuration. Starting sshd. Scanning //usr/share/certs/blacklisted for certificates... Scanning //usr/share/certs/trusted for certificates... done.
ただし、ライブラリの置き換えがあるので、service コマンドで再起動可能なデーモンやsshを使っていそうなサービスは再起動しておく方がよさそう。sshd を動かしているならやっておいた方がよさそうです。
FreeBSD pc168 13.4-RELEASE-p3 FreeBSD 13.4-RELEASE-p3 GENERIC amd64
カーネルリプレースが無いので、リブートしても uname コマンドの結果表示は変わらない。
13.4-p0 からの場合は、kernel リプレースの可能性が高いので、リブート覚悟でやらないといけなさそう。
以上が、Tier1 の64bit FreeBSD の場合。
64bit FreeBSD はバイナリーメンテナンスができるからいいけど、32bit FreeBSD は上記ファイルの置き換えのために、ソースビルドやり直しが必要になります。こちらは、パッチインストールするためには時間が掛かります。
make buildworld と make kernel が必要となります。make kernel は行わなくてもいいかもしれないけど、buildworld に比べて短時間で済むので、-D NO_CLEAN オプション付きで行いました。
FreeBSD pc15 13.4-RELEASE-p4 FreeBSD 13.4-RELEASE-p4 releng/13.4-n258279-27f132c05c39 GENERIC arm
バイナリアップデートを行った 64bit FreeBSD と比べて、バージョン表示が 13.4-p4 となりました。