From nobody Sat Jan 07 03:13:28 2023 X-Original-To: dev-commits-doc-all@mlmmj.nyi.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1]) by mlmmj.nyi.freebsd.org (Postfix) with ESMTP id 4Nplf03Vmhz2pGxs for ; Sat, 7 Jan 2023 03:13:28 +0000 (UTC) (envelope-from git@FreeBSD.org) Received: from mxrelay.nyi.freebsd.org (mxrelay.nyi.freebsd.org [IPv6:2610:1c1:1:606c::19:3]) (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 client-signature RSA-PSS (4096 bits) client-digest SHA256) (Client CN "mxrelay.nyi.freebsd.org", Issuer "R3" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 4Nplf03JkZz4P4T; Sat, 7 Jan 2023 03:13:28 +0000 (UTC) (envelope-from git@FreeBSD.org) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=freebsd.org; s=dkim; t=1673061208; h=from:from:reply-to:subject:subject:date:date:message-id:message-id: to:to:cc:mime-version:mime-version:content-type:content-type: content-transfer-encoding:content-transfer-encoding; bh=R/TyAVmT39N2haEvjMHQtH45bFnfcVRwIiM4IYBG30U=; b=H8pBSup3dAi+Ug+BBZRBTuGYerM/V9rZO66vCJDjbLI7sQCJbU3CDIA88HYVhi7urOvqIR CiBaX1ptAIxCPsiaxeEqhH6O253s367z0a2FeYb0r4apGoqMffmxbEqWKACBnZJEpiW0h1 FSxVKq+BxrZpX4jek8ExKQ6F8jVonck81+RnoTUNuU6rm0H9atRriv1lOesEQqII/Dwuoi kN6n/iICsSI2HNY8KxYDr8rAf4sJOFUCipEUkoNYBJXGUIKYCueQmIIbyzphbpfQxKrKUE 8VkTqLFhP80XYWoqBInLM++HdHOgvBd7n0KBdlPwo42HM/MC4CmMC6QyBvsMBA== ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=freebsd.org; s=dkim; t=1673061208; h=from:from:reply-to:subject:subject:date:date:message-id:message-id: to:to:cc:mime-version:mime-version:content-type:content-type: content-transfer-encoding:content-transfer-encoding; bh=R/TyAVmT39N2haEvjMHQtH45bFnfcVRwIiM4IYBG30U=; b=qdj+oSCj+xpQSaZef9joaBIKFmb3NSwyd7ROeV9AFAeCBO4BwnxbkfjcB1OzSPPRmqY5ps j1XizUrZdmWL0ps5u38sfOug3WBpLaFxMP8ESUjMI6xWI14NgCF+umRGE8q37pwTM9EkjT Nc399VawA1d+h+YMCZnYwedlnajvhSntTLwV5N+/CSHDm1f+53tlbG+iwZdZqtKH6V7yda GuiSukN2EjzznVadQs+5yC3M/4YocB1LmsuP63kL2TD980cbGN9n2+CsF6qMRFeeWSnCFx oTvDlHeFh+TyrUDFTGV81mhMk8tyQ9BELTfUXWcYonYWkBWigUHvAbFiB+/NZA== ARC-Authentication-Results: i=1; mx1.freebsd.org; none ARC-Seal: i=1; s=dkim; d=freebsd.org; t=1673061208; a=rsa-sha256; cv=none; b=kRpQKw7sFlNewtC9pm4Cm5KzLjChaRqWXCGadb85qpu+aWJre+fSB/UbEHXA5zpHBABpah qxZSBzW8GK7PbSkH7Tlg9riq2+W1CpJH4povFVyFKvs2H2ljpkZQj7S9dZciiKZUomzbDi ElSAHn5MbxRZfFwNs/6juXifZDrNqxnDJwbsUyDsTI8OijemtWkLuUYlzHNapkIkGVIOuF 8Q/khQCf8NQR5ybdLvcjL3RpHa+a7mopN8TORGJmPHjCcRlg17LM0YlpYEOIXgo5MNRoCN msjYjHiVxDkKmfQ8S9L6ZdeMo1py4Np7rm2VrkNzY2ZCAw8rMXri8TsBrY5OWw== Received: from gitrepo.freebsd.org (gitrepo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:5]) (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256) (Client did not present a certificate) by mxrelay.nyi.freebsd.org (Postfix) with ESMTPS id 4Nplf02MJYzv9w; Sat, 7 Jan 2023 03:13:28 +0000 (UTC) (envelope-from git@FreeBSD.org) Received: from gitrepo.freebsd.org ([127.0.1.44]) by gitrepo.freebsd.org (8.16.1/8.16.1) with ESMTP id 3073DSXI096718; Sat, 7 Jan 2023 03:13:28 GMT (envelope-from git@gitrepo.freebsd.org) Received: (from git@localhost) by gitrepo.freebsd.org (8.16.1/8.16.1/Submit) id 3073DSSu096717; Sat, 7 Jan 2023 03:13:28 GMT (envelope-from git) Date: Sat, 7 Jan 2023 03:13:28 GMT Message-Id: <202301070313.3073DSSu096717@gitrepo.freebsd.org> To: doc-committers@FreeBSD.org, dev-commits-doc-all@FreeBSD.org From: Ryusuke SUZUKI Subject: git: 8153f4c3a5 - main - ja/handbook: Update security-advisories section List-Id: Commit messages for all branches of the doc repository List-Archive: https://lists.freebsd.org/archives/dev-commits-doc-all List-Help: List-Post: List-Subscribe: List-Unsubscribe: Sender: owner-dev-commits-doc-all@freebsd.org X-BeenThere: dev-commits-doc-all@freebsd.org MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit X-Git-Committer: ryusuke X-Git-Repository: doc X-Git-Refname: refs/heads/main X-Git-Reftype: branch X-Git-Commit: 8153f4c3a582f2de3bb89937b2869f892833d8e8 Auto-Submitted: auto-generated X-ThisMailContainsUnwantedMimeParts: N The branch main has been updated by ryusuke: URL: https://cgit.FreeBSD.org/doc/commit/?id=8153f4c3a582f2de3bb89937b2869f892833d8e8 commit 8153f4c3a582f2de3bb89937b2869f892833d8e8 Author: Ryusuke SUZUKI AuthorDate: 2023-01-07 03:13:01 +0000 Commit: Ryusuke SUZUKI CommitDate: 2023-01-07 03:13:01 +0000 ja/handbook: Update security-advisories section --- .../content/ja/books/handbook/security/_index.adoc | 197 ++++++++++++++++----- 1 file changed, 152 insertions(+), 45 deletions(-) diff --git a/documentation/content/ja/books/handbook/security/_index.adoc b/documentation/content/ja/books/handbook/security/_index.adoc index 3acf37b7c0..0ac5689cf7 100644 --- a/documentation/content/ja/books/handbook/security/_index.adoc +++ b/documentation/content/ja/books/handbook/security/_index.adoc @@ -1648,78 +1648,185 @@ portaudit は強力で、 portmaster port と共に使うときわめて有用 [[security-advisories]] == FreeBSD セキュリティ勧告 -多くの高品質なオペレーティングシステムと同様、 FreeBSD は "セキュリティ勧告" を発行しています。 これらの勧告は、通常セキュリティに関連したのメーリングリストに投稿され、 サポートされているリリースに対してパッチが作成された後、 Errata に記載されます。 この章では、セキュリティ勧告とは何か、どのように理解すべきか、 システムにパッチを当てるにはどのように対応すればよいかについて説明します。 +多くの高品質なオペレーティングシステムのプロジェクト同様、 FreeBSD プロジェクトはセキュリティチームを持っています。 +このチームは責任をもって、各 FreeBSD リリースに対する保守終了 (End-of-Life (EoL)) 日を決めたり、サポートされているリリースに対して、EoL までセキュリティアップデートを提供しています。 +FreeBSD セキュリティチームおよびサポートされているリリースについての情報は、link:https://www.FreeBSD.org/ja/security[FreeBSD セキュリティページ] で提供されています。 + +セキュリティチームの仕事の 1 つは FreeBSD オペレーティングシステムのセキュリティ脆弱性に対応することです。 +脆弱性が確認されると、セキュリティチームは脆弱性を修正するために必要となる手続きを検証し、修正を含めるようにソースコードをアップデートします。 +その後、詳細を "セキュリティ勧告" として発行しています。 +セキュリティ勧告は、 link:https://www.FreeBSD.org/ja/security/advisories/[FreeBSD ウェブサイト] で公開され、 {freebsd-security-notifications}, {freebsd-security}, および {freebsd-announce} メーリングリストに投稿されます。 + +この章では、セキュリティ勧告とはどのようなものか説明します。 === セキュリティ勧告はどのようなものか? -FreeBSD セキュリティ勧告では、 以下のようなフォーマットが用いられています。 +以下は FreeBSD セキュリティ勧告の例です。 [.programlisting] .... ============================================================================= -FreeBSD-SA-XX:XX.UTIL Security Advisory +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 + +============================================================================= +FreeBSD-SA-14:04.bind Security Advisory The FreeBSD Project -Topic: denial of service due to some problem <.> - -Category: core <.> -Module: sys <.> -Announced: 2003-09-23 <.> -Credits: Person <.> -Affects: All releases of FreeBSD <.> - FreeBSD 4-STABLE prior to the correction date -Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) - 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) - 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) - 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) - 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) - 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) - 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) - 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) - 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39) <.> -CVE Name: CVE-XXXX-XXXX <.> +Topic: BIND remote denial of service vulnerability + +Category: contrib +Module: bind +Announced: 2014-01-14 +Credits: ISC +Affects: FreeBSD 8.x and FreeBSD 9.x +Corrected: 2014-01-14 19:38:37 UTC (stable/9, 9.2-STABLE) + 2014-01-14 19:42:28 UTC (releng/9.2, 9.2-RELEASE-p3) + 2014-01-14 19:42:28 UTC (releng/9.1, 9.1-RELEASE-p10) + 2014-01-14 19:38:37 UTC (stable/8, 8.4-STABLE) + 2014-01-14 19:42:28 UTC (releng/8.4, 8.4-RELEASE-p7) + 2014-01-14 19:42:28 UTC (releng/8.3, 8.3-RELEASE-p14) +CVE Name: CVE-2014-0591 For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the -following sections, please visit -http://www.FreeBSD.org/security/. +following sections, please visit . + +I. Background + +BIND 9 is an implementation of the Domain Name System (DNS) protocols. +The named(8) daemon is an Internet Domain Name Server. + +II. Problem Description + +Because of a defect in handling queries for NSEC3-signed zones, BIND can +crash with an "INSIST" failure in name.c when processing queries possessing +certain properties. This issue only affects authoritative nameservers with +at least one NSEC3-signed zone. Recursive-only servers are not at risk. + +III. Impact + +An attacker who can send a specially crafted query could cause named(8) +to crash, resulting in a denial of service. + +IV. Workaround + +No workaround is available, but systems not running authoritative DNS service +with at least one NSEC3-signed zone using named(8) are not vulnerable. + +V. Solution + +Perform one of the following: -I. Background <.> +1) Upgrade your vulnerable system to a supported FreeBSD stable or +release / security branch (releng) dated after the correction date. +2) To update your vulnerable system via a source code patch: -II. Problem Description <.> +The following patches have been verified to apply to the applicable +FreeBSD release branches. +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. -III. Impact <.> +[FreeBSD 8.3, 8.4, 9.1, 9.2-RELEASE and 8.4-STABLE] +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-release.patch +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-release.patch.asc +# gpg --verify bind-release.patch.asc +[FreeBSD 9.2-STABLE] +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-stable-9.patch +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-stable-9.patch.asc +# gpg --verify bind-stable-9.patch.asc -IV. Workaround <.> +b) Execute the following commands as root: +# cd /usr/src +# patch < /path/to/patch -V. Solution <.> +Recompile the operating system using buildworld and installworld as +described in . +Restart the applicable daemons, or reboot the system. -VI. Correction details <.> +3) To update your vulnerable system via a binary patch: +Systems running a RELEASE version of FreeBSD on the i386 or amd64 +platforms can be updated via the man:freebsd-update[8] utility: -VII. References <.> +# freebsd-update fetch +# freebsd-update install + +VI. Correction details + +The following list contains the correction revision numbers for each +affected branch. + +Branch/path Revision +- ------------------------------------------------------------------------- +stable/8/ r260646 +releng/8.3/ r260647 +releng/8.4/ r260647 +stable/9/ r260646 +releng/9.1/ r260647 +releng/9.2/ r260647 +- ------------------------------------------------------------------------- + +To see which files were modified by a particular revision, run the +following command, replacing NNNNNN with the revision number, on a +machine with Subversion installed: + +# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base + +Or visit the following URL, replacing NNNNNN with the revision number: + + + +VII. References + + + + + +The latest revision of this advisory is available at + +-----BEGIN PGP SIGNATURE----- + +iQIcBAEBCgAGBQJS1ZTYAAoJEO1n7NZdz2rnOvQP/2/68/s9Cu35PmqNtSZVVxVG +ZSQP5EGWx/lramNf9566iKxOrLRMq/h3XWcC4goVd+gZFrvITJSVOWSa7ntDQ7TO +XcinfRZ/iyiJbs/Rg2wLHc/t5oVSyeouyccqODYFbOwOlk35JjOTMUG1YcX+Zasg +ax8RV+7Zt1QSBkMlOz/myBLXUjlTZ3Xg2FXVsfFQW5/g2CjuHpRSFx1bVNX6ysoG +9DT58EQcYxIS8WfkHRbbXKh9I1nSfZ7/Hky/kTafRdRMrjAgbqFgHkYTYsBZeav5 +fYWKGQRJulYfeZQ90yMTvlpF42DjCC3uJYamJnwDIu8OhS1WRBI8fQfr9DRzmRua +OK3BK9hUiScDZOJB6OqeVzUTfe7MAA4/UwrDtTYQ+PqAenv1PK8DZqwXyxA9ThHb +zKO3OwuKOVHJnKvpOcr+eNwo7jbnHlis0oBksj/mrq2P9m2ueF9gzCiq5Ri5Syag +Wssb1HUoMGwqU0roS8+pRpNC8YgsWpsttvUWSZ8u6Vj/FLeHpiV3mYXPVMaKRhVm +067BA2uj4Th1JKtGleox+Em0R7OFbCc/9aWC67wiqI6KRyit9pYiF3npph+7D5Eq +7zPsUdDd+qc+UTiLp3liCRp5w6484wWdhZO6wRtmUgxGjNkxFoNnX8CitzF8AaqO +UWWemqWuz3lAZuORQ9KX +=OQzQ +-----END PGP SIGNATURE----- .... -<.> `Topic` フィールドでは、 問題について明記されています。 セキュリティ勧告の導入部であり、 脆弱性に影響されるユーティリティを示します。 -<.> `Category` フィールドでは、 脆弱性がシステムのどの部分に影響するかを示します。 `core`, `contrib` または `ports` のどれかが示されます。 `core` カテゴリは、 FreeBSD オペレーティングシステムの `core` コンポーネントに影響する脆弱性であることを意味します。 `contrib` カテゴリは、 Sendmail のように、FreeBSD の外で開発され、FreeBSD プロジェクトに取り込まれたソフトウェアに影響する脆弱性であることを意味します。 `ports` カテゴリは、Ports Collection からインストールされるソフトウェアに影響する脆弱性であることを示しています。 -<.> `Module` フィールドは、 影響するコンポーネントについて言及します。 この例では、`sys` モジュールに影響することがわかります。 そのため、この脆弱性は、 カーネルの中で使われるコンポーネントに影響します。 -<.> `Announced` フィールドは、 セキュリティ勧告が発行された日、 またはアナウンスされた日が記載されています。 セキュリティチームによりこの問題が存在することが確認され、 パッチが FreeBSD ソースコードリポジトリにコミットされたことを意味します。 -<.> `Credits` フィールドは、 脆弱性を通知し、報告した個人または組織を示します。 -<.> `Affects` フィールドは、この脆弱性がどの FreeBSD リリースに影響するかを説明します。 カーネルでは、影響するファイルに対して man:ident[1] を実行すると、 その出力からリビジョンを簡単に確認できます。 ports の場合には、 [.filename]#/var/db/pkg# の port の名前の後に、バージョン番号が示されています。 もし、システムが FreeBSD Subversion リポジトリと同期していなかったり、 再構築が毎日行われているような状況でなければ、 おそらく、そのシステムには影響しているでしょう。 -<.> `Corrected` フィールドは、 脆弱性が修正された日、時間、 タイムゾーン、およびリリースが示されます。 -<.> http://cve.mitre.org[Common Vulnerabilities and Exposures] データベースにおいて、 脆弱性を探すために使用できる識別情報を示します。 -<.> `Background` フィールドは、 影響しているユーティリティに関する情報を示します。 大体の場合は、なぜユーティリティが FreeBSD に存在するか、 何のために使われているか、 どのように用いられるようになってきたか、 といった情報が示されます。 -<.> `Problem Description` フィールドは、 より深くセキュリティホールについて説明します。 問題のあるコードの情報や、 このユーティリティが悪意のある使い方により、 どのようにセキュリティホールを開けうるかといったことが示されます。 -<.> `Impact` フィールドは、 この問題がシステムに対して、 どのような形式の影響を与えるかについて示します。 たとえば、DoS 攻撃によるものか、 ユーザに対して意図しない特権を持たせてしまうものか、 または、攻撃者にスーパユーザのアクセスを与えるようなものか、 といったことが示されます。 -<.> `Workaround` フィールドは、 時間による制限や、ネットワークの可用性または他の理由により、 システムをアップグレードできないシステム管理者に対して、 回避方法を提供します。 セキュリティを甘く見るべきではなく、 影響するシステムにはパッチを当てるか、 セキュリティホールの回避方法を実行すべきです。 -<.> `Solution` フィールドは、 影響のあるシステムにパッチを当てる手順を提供します。 ここではステップごとにシステムにパッチを当て、 安全に動作するように、 試験され検証された方法が記載されます。 -<.> `Correction Details` フィールドは、 Subversion ブランチまたはリリース名のピリオドをアンダースコアに置き換えたものを示します。 ここでは、 各ブランチにおいて影響するファイルのリビジョン番号も示します。 -<.> `References` フィールドは、 通常、ウェブページの URL, books, メーリングリストおよびニュースグループといった、 ほかの情報へのソースを提供します。 +すべてのセキュリティ勧告は以下のフォーマットに基づいています。 + +* 各セキュリティ勧告には、セキュリティオフィサの PGP 鍵により署名されています。セキュリティオフィサの公開鍵は、crossref:pgpkeys[pgpkeys,OpenPGP 鍵] で検証できます。 +* FreeBSD のセキュリティ勧告の名前は常に `FreeBSD-SA-` で始まり、次に年を表す 2 桁の数字 (`14:`)、年毎の勧告の番号 (`04.`) 、そして影響するアプリケーションまたはサブシステムの名前 (`bind`) が続きます。この例は、2014 年の 4 番目の勧告で BIND に影響する脆弱性に対する勧告を意味しています。 +* `Topic` フィールドでは、脆弱性について明記されています。 +* `Category` では、脆弱性がシステムのどの部分に影響するかを示します。 `core`, `contrib` または `ports` のどれかが示されます。 `core` カテゴリは、 FreeBSD オペレーティングシステムの `core` コンポーネントに影響する脆弱性であることを意味します。 `contrib` カテゴリは、BIND のように FreeBSD に取り込まれているソフトウェアに影響する脆弱性であることを意味します。 `ports` カテゴリは、Ports Collection からインストールされるソフトウェアに影響する脆弱性であることを示しています。 +* `Module` フィールドは、 影響するコンポーネントについて言及します。 この例では `bind` モジュールに影響することがわかります。 そのため、この脆弱性は、オペレーティングシステムとともにインストールされたアプリケーションに影響します。 +* `Announced` フィールドには、セキュリティ勧告が発行された日が記載されています。 セキュリティチームによりこの問題が存在することが確認され、パッチが FreeBSD ソースコードリポジトリにコミットされたことを意味します。 +* `Credits` フィールドは、脆弱性を発見し、報告した個人または組織を示します。 +* `Affects` フィールドは、この脆弱性がどの FreeBSD リリースに影響するかを示しています。 +* `Corrected` フィールドには、脆弱性が修正された日、時間、タイムゾーン、およびリリースが示されます。この括弧の中では、修正がマージされた各ブランチ、およびそのブランチで対応するリリースのバージョン番号が示されています。リリースの識別子には、バージョン番号、可能な場合はパッチレベルが含まれています。パッチレベルは `p` に番号が続いたものです。この番号はパッチのシーケンス番号で、この番号を確認することで、ユーザはどのパッチまでがシステムに適用されているかを追跡できます。 +* `CVE Name` フィールドは、該当する脆弱性が http://cve.mitre.org[cve.mitre.org] セキュリティ脆弱性データベースに存在する場合に、脆弱性の番号一覧を示します。 +* `Background` フィールドは、影響しているモジュールに関する情報を示します。 +* `Problem Description` フィールドは、脆弱性について説明します。 問題のあるコードの情報や、このユーティリティがどのように悪意のある使われ方をされうるかといったことが示されます。 +* `Impact` フィールドは、 この問題がシステムに対して、 どのような形式の影響を与えるかについて示します。 +* `Workaround` フィールドは、何らかの理由により、すぐにシステムにパッチを当てることのできないシステム管理者に対して、回避方法が存在する場合にその方法を提供します。 +* `Solution` フィールドは、影響のあるシステムにパッチを当てる手順を提供します。ここではステップごとにシステムにパッチを当て、安全に動作するように、試験され検証された方法が記載されます。 +* `Correction Details` フィールドは、影響する各 Subversion ブランチに対する修正されたコードが取り込まれたリビジョン番号をを示します。 +* `References` フィールドは、脆弱性に関連する他の情報へのソースを提供します。 [[security-accounting]] == プロセスアカウンティング