FreeBSD

MicrosoftのAzure MarketplaceでFreeBSDイメージが利用可能に

Microsoftが独自のFreeBSDイメージを作成して、Azure Marketplaceから利用できるようにしたそうです。これによって、ものの数分でAzure上にFreeBSDシステムをくみ上げることができるようになったとのことです。FreeBSD now available in Azure Marketplace |…

X.org 7.5にアップデート

X.orgを7.5にアップデートしました。 とりあえずHALの削除はxorg-server-1.8.0からなので、今回は影響しません。 というわけでpkg_replaceとportupgradeでさっくり作業してみました。が、案の定というか何と言うか、マウスとキーボードが反応しなくなり。 HA…

FreeBSDでDropboxが使いたい

ワケあってFreeBSDでDropboxが使いたくなりました。結論を先に言うと、インストールはできたけど動きません。Linux版のクライアントはnautilus-dropboxというNautilusプラグインの形で提供されているので、これをFreeBSDでビルドしたら何とかならないかなあ…

FreeBSDでDropboxが使いたい

ワケあってFreeBSDでDropboxが使いたくなりました。結論を先に言うと、インストールはできたけど動きません。Linux版のクライアントはnautilus-dropboxというNautilusプラグインの形で提供されているので、これをFreeBSDでビルドしたら何とかならないかなあ…

The FreeBSD FoundationがEuroBSDCon 2009の旅費を支援

The FreeBSD FoundationがEuroBSDCon 2009の参加者に対する旅費の支援を計画しているそうです。 2009年7月27日 EuroBSDCon 2009旅費支援,8月20日まで - ファウンデーション提供:FreeBSD Daily Topics|gihyo.jp … 技術評論社 旅費援助の対象はカーネル開発…

phpMyAdminにクロスサイトスクリプティング脆弱性

phpMyAdminにクロスサイトスクリプティングを許容する脆弱性が報告されています。攻撃者は加工されたSQLブックマークを用いて攻撃を行うことが可能とのことです。SQLブックマークをサポートした3.x系が対象であり、対策を施したバージョン3.2.0.1がリリース…

Nagiosにコマンドインジェクションの脆弱性

サーバ・ネットワーク監視ツールのNagiosにコマンドインジェクションを許容する脆弱性が報告されています。statuswml.cgiにおいてpingパラメータに渡された値を適切にチェックしないため、ここに任意のコマンドを入力して実行できてしまう危険性があるとのこ…

fork(2)にデッドロックが発生する問題

fork(2)においてデッドロックが発生する問題が報告されています。子プロセス作成時に、他のスレッドでmalloc(3)が行われていると、作成した子プロセスでデッドロックが発生するとのことです。対象はFreeBSD 7.2で、回避するためにはシステムをアップデートす…

fxp(4)に通信性能が劣化する問題

fxp(4)ネットワークデバイスドライバにおいて、TSOオプションが有効になっている場合にパケットロスが多発して通信性能の劣化が発生する可能性があると報告されています。対象はFreeBSD 7.2で、回避するためにはTSOオプションを無効にするか、システムのアッ…

bce(4)に動作が停止する危険性のある問題

bce(4)ネットワークデバイスドライバに、lagg(4)と組み合わせた場合に動作が停止してしまう危険性のある問題が報告されています。対象はFreeBSD 7.2で、回避するためにはシステムをアップデートするかパッチを適用してカーネルを再構築する必要があります。 …

FreeBSD Foundation Blogがスタート

FreeBSD Foundationの活動や寄付金の流れなどを伝える目的で、FreeBSD Foundation Blogなるものが開始されたそうです。 http://freebsdfoundation.blogspot.com/ 更新を通知するTwitterアカウントも用意されています。

BSD MagazineのサイトでPDF版の記事が公開中

BSD Magazineのサイトでいくつかの記事がPDFでフリー公開されています。 http://bsdmag.org/prt/view/pdf-articles.html 公開されている記事は以下の4つ。 NetBSD Install If it moves - crypt it! Hard drive encryption on BSD Interview with Simon Burge…

cscopeに複数のバッファオーバーフロー脆弱性

cscopeにバッファオーバーフローを引き起こす複数の脆弱性が報告されており、修正版がリリースされています。15.6で1件の、15.7aで2件の問題が修正されているので、15.7a以降のバージョンへアップデートするのが望ましいかと思います。 VuXML: cscope -- mul…

joomlaに複数の脆弱性

joomlaに複数の脆弱性が報告されており、修正版がリリースされています。対象はjoomla5 1.5.10以前のバージョン。詳細は以下を参照してください。 VuXML: joomla -- multiple vulnerabilities

Pidginに複数の脆弱性

Pidginに複数の脆弱性が報告されており、修正版がリリースされています。対象はバージョン2.5.5以前のpidgin、finch、libpurple。詳細は以下を参照してください。 VuXML: pidgin -- multiple vulnerabilities

gitにサービス拒否攻撃を許容する脆弱性

gitにサービス拒否攻撃を許容する脆弱性があるとのことで、バージョン1.6.3.2_1へのアップデートが必要になっています。 VuXML: git -- denial of service vulnerability

第2回FreeBSD勉強会の参加登録受付が開始されました

技術評論社主催のFreeBSD勉強会第2回の詳細が決まったようです。開催日は6月18日で、テーマは「リモート管理の活用法とシステムトラブル対応の基礎」、スピーカーは佐藤広生氏です。申し込みは15日(って明日ですね)までなのでお早めに。 第2回 リモート管…

ntpd(8)にバッファオーバーフローの脆弱性

ntpd(8)において「autokey」の設定を利用した場合、スタックベースのバッファオーバーフローを引き起こす危険性があるという問題が報告されています。この問題によって任意コードの実行やデーモンのクラッシュ、サービス拒否などが行われる危険があるとのこ…

ipv6に必要なパーミッションチェックを行わない脆弱性

ipv6のSIOCSIFINFO_IN6 ioctlにおいて、本来必要であるはずのパーミッションチェックが行われていないという問題が報告されています。この問題によって、rootでないユーザやjails内のユーザでもIPv6インタフェースのプロパティを設定できてしまうとのことで…

pipeに整数オーバーフローの脆弱性

FreeBSDのpipeに整数オーバーフローの脆弱性が報告されています。この問題によってメモリ上の残された情報を他のプロセスから不正に読み取られる危険性があるとのことです。全てのバージョンが対象で、システムをアップデートするか対策パッチを適用する必要…

FreeBSDを使う上でのセキュリティチェックリスト

FreeBSDを使う上で抑えておくべきセキュリティ上のチェック項目一覧だそうです。関連するドキュメントへのリンクも記載されています。 The FreeBSD Forums • View topic - Unofficial FreeBSD Security Checklist / Links / Resources

libxineに複数の脆弱性

libxineに複数の脆弱性が報告されており、対策を施したバージョンがリリースされています。最新版はlibxine 1.1.16.3です。 まず、libxine 1.1.16.2で修正されたのは、FFmpeg(およびFFmpeg library)において4Xムービーファイルをパースする際に任意のコー…

gihyo.jp FreeBSD勉強会 第1回の参加者を募集中

gihyo.jp FreeBSD勉強会 第1回の参加者を募集中だそうです。内容は「システム/カーネル構築の高速化Tips」、スピーカーは後藤大地氏。応募者多数の場合には抽選となりますが、前回と同様、Ustream.tvによる中継も行われるとのことです。 http://gihyo.jp/ev…

ghostscriptにバッファオーバーフローの危険がある脆弱性

ghostscriptにバッファオーバーフローの危険がある脆弱性が報告されており、portsがアップデートされています。この問題はユーザによる入力をチェックしないままバッファにコピーしようとすることで引き起こされ、リモートから不正にメモリ領域を上書きされ…

drupalにクロスサイトスクリプティング脆弱性

drupalにクロスサイトスクリプティングを許容する脆弱性が報告されており、 drupal5およびdrupal6がアップデートされています。この脆弱性は常々指摘されてきたUTF-7の不完全さに起因するもので、UTF-8仕様に準拠したバイト列がUTF-7として解釈された場合に…

cyrus-saslにバッファオーバーフローの危険がある脆弱性

cyrus-saslのsasl_encode64()に、文字列をbase64にエンコードする際にバッファオーバーフローが発生する危険のあるバグが報告されています。対象はバージョン2.1.22で、対策を施したバージョン2.1.23がリリースされています。 VuXML: cyrus-sasl -- buffer o…

libwmfに複数の脆弱性

libwmfに2件の脆弱性が報告されており、portsがアップデートされています。 ひとつはこのエントリのものと同じでGDライブラリによるメモリ使用に関するもの。もうひとつはWMFファイル内の値チェックを行わないために引き起こされる整数オーバーフローによる…

mod_perlにクロスサイトスクリプティング脆弱性

mod_perlのApache::StatusおよびApache2::Statusの処理にクロスサイトスクリプティング脆弱性が報告されており、portsがアップデートされています。対象となるのはmod_perl 1.30以前およびmod_perl2 2.04以前のバージョンです。 VuXML: mod_perl -- cross-si…

moinmoinに複数のクロスサイトスクリプティング脆弱性

moinmoinにクロスサイトスクリプティングを許容する複数の脆弱性が報告されており、portsがアップデートされています。対策が施された最新版はバージョン1.8.3。1.8.2でaction/AttachFile.pyとsecurity/antispam.pyのパラメータチェックに関する部分が修正さ…

php-dbaにINIファイルを空にする危険のある脆弱性

php4-dbaおよびphp5-dbaのdba_replace()関数に、データベースキーが見つけられない場合にINIファイルを空にする危険のあるバグがあり、アップデートが公開されています。対象バージョンは5.2.6、4.4.9。portsよりアップデートできます。 VuXML: php -- ini d…

Pangoの整数オーバーフローの脆弱性を修正

Pangoにおける整数オーバーフローの脆弱性ですが、FreeBSDにおいてもpango、 linux-pango、linux-f8-pangoのそれぞれのportsがアップデートされています。 VuXML: pango -- integer overflow

FreeBSD 7.2-RC2リリース

スケジュールより3日遅れになりますが、FreeBSD 7.2-RC2がリリースされました。 FreeBSD 7.2-RC2 Available 正式リリースは5月4日の予定です。

libcのdb(3)に情報漏洩の脆弱性

libcに含まれるdb(3)に、情報漏洩の危険がある脆弱性が報告されています。対象となるバージョンについては以下を参照。 http://security.freebsd.org/advisories/FreeBSD-SA-09:07.libc.asc これはdb(3)によてBerkeleyデータベースファイルが作成される際に…

OpenSSLにリモートからアプリケーションをクラッシュできる脆弱性

OpenSSLにリモートからの攻撃によってアプリケーションをクラッシュさせられる危険性のある脆弱性が報告されています。対象のバージョンについては以下を参照。 http://security.freebsd.org/advisories/FreeBSD-SA-09:08.openssl.asc この脆弱性はASN1_STRI…

ejabberdにクロスサイトスクリプティング脆弱性

Jabberサーバのひとつであるejabberdにクロスサイトスクリプティングを許容する脆弱性が報告されており、これに対処したejabberd 2.0.3がリリースされています。この脆弱性で、悪意あるコードによりCookieベースの認証証明書を奪取される危険性があるとのこ…

phpMyAdminに不正なコードを設定ファイルに埋め込める脆弱性

phpMyAdminに不正なPHPコードを設定ファイルに埋め込めるという脆弱性が報告されており、それに対処したphpMyAdmin 3.1.3.2がリリースされています。この脆弱性は、POSTリクエストを加工することによってphpMyAdminによって生成される設定ファイルに任意のPH…

ziproxyにinformation-disclosureの脆弱性

Ziproxyにリレー接続に利用される危険性がある脆弱性が報告されており、これに対処したziproxy 2.7.0がリリースされています。この脆弱性は、プロキシが転送の可否をHTTPヘッダのHostプロパティの値を参照して判断しているとき、ヘッダを加工することでイン…

drupal6-cckにクロスサイトスクリプティング脆弱性

1週間ほど前のニュース。CCK for Drupal 6.xにクロスサイトスクリプティングを許容する脆弱性が報告されており、それに対処したdrupal6-cck 6.x.2.2がリリースされました。portsよりアップデートできます。 VuXML: drupal6-cck -- cross-site scripting

FreeBSD 7.2-RC1リリース

FreeBSD 7.2-RC1がリリースされました。予定では15日になっていたので、ほぼスケジュール通り進んでいる感じです。 http://lists.freebsd.org/pipermail/freebsd-stable/2009-April/049464.html 今後のスケジュールは、RC2のリリースおよびPortsフリーズの解…

gihyo.jp FreeBSD勉強会 第0回の様子と今後の開催日程

gihyo.jpにて第0回FreeBSD勉強会の様子がレポートされてます。 第0回gihyo.jp FreeBSD勉強会開催―目指すのは「日本のFreeBSDユーザが集まる“場”」:レポート|gihyo.jp … 技術評論社今後の開催日程についてはgihyo.jp上などでの告知の他にGoogleカレンダーで…

PC-BSD 7.1 Galileo Editionリリース

PC-BSD 7.1 Galileo Editionがリリースされました。FreeBSD 7.2-Pre、KDE 4.2.2、X.Org 7.4になった他、JailのGUIフロントエンドであるWardenが採用されたことなどが大きな変更点です。 http://www.pcbsd.org/content/view/103/11/

gihyo.jp FreeBSD勉強会 第0回 申し込み受付開始

gihyo.jpの主催で開催されるFreeBSD勉強会の第0回の申し込み受付がスタートしました。日時は4月15日(水)19:00〜20:00、申込期限は13日(月)、場所は技術評論社本社ビル3Fです。 FreeBSD勉強会 | イベント … 技術評論社 FreeBSD勉強会は、FreeBSDに関する…

FreeBSD 7.2 BETAがダウンロード可能に

FreeBSD 7.2 BETAがFTPサーバよりダウンロードできるようになっています。ほぼスケジュール通りですね。最終リリースは5月4日に予定されています。 http://www.freebsdnews.net/2009/04/02/freebsd-72-beta-available/

マイコミジャーナルのAsiaBSDCon 2009特集

マイコミジャーナルにAsiaBSDCon 2009のレポート記事がガッツリ掲載されています。 メールのオリジナル開発者が描くメールの未来とは - AsiaBSDCon 2009 | マイナビニュース OpenBSDリリースを半年おきに実現できる理由 - AsiaBSDCon 2009 | マイナビニュー…

FreeBSD 7.xにカーネルパニックを引き起こす脆弱性

FreeBSD 7.xを対象にカーネルパニックを引き起こす危険性のある脆弱性が報告されています。 http://security.freebsd.org/advisories/FreeBSD-EN-09:01.kenv.asc カーネル環境変数によってバッファサイズが設定される際にこの範囲に制限が設けられてない箇所…

Amarok2を導入する際のポイント

Amarok絡みで、FreeBSD Daily TopicsにAmarok2をビルドする際のポイントが解説されています。 2009年3月24日 Amarok2ビルド方法とトラブルシューティング:FreeBSD Daily Topics|gihyo.jp … 技術評論社 x11/kdebase4-hogehogeというのは、Gnome環境の人の「…

メディアプレイヤー「Amarok」に複数の脆弱性

メディアプレイヤーのAmarikに、任意のコードが実行可能となる複数の脆弱性が報告されており、それを修正したバージョン1.4.10_3がports(audio/amarok)に追加されました。早急なアップデートを。脆弱性の詳細は以下を参照のこと。 http://secunia.com/advi…

FreeBSD 7.xにプロセスの特権増大が可能な脆弱性

FreeBSD 7.xに対して、プロセスの特権増大の危険性に対するセキュリティアドバイザリが出されています。 http://security.freebsd.org/advisories/FreeBSD-SA-09:06.ktimer.asc これはプロプロセス・タイマーを利用するプロセスが、使用するタイマーを指定す…

FreeBSD 7.2のリリーススケジュール公開

FreeBSD 7.2-RELEASEのリリーススケジュールが公開されました。最終リリースは2009年5月4日の予定になっています。 FreeBSD 7.2 Release Process 以下、抜粋。 3月23日 Code freeze 3月30日 BETA1 4月10日 RELENG_7_2 branch 4月13日 RC1 4月20日 RC2 5月01…

FreeBSDカーネルのソースコードを読むには

以下の記事に、FreeBSDのカーネルのソースコードを読んで理解しようとしたとき、どこから手をつければいいかということがまとめられています。これは参考になるかも。 Reading the FreeBSD Kernel | int 80