FreeBSD - The Power To Serve

The FreeBSD Projectは7日(協定世界時)、2件のセキュリティ勧告FreeBSD-SA-09:02.opensslFreeBSD-SA-09:01.lukemftpdを発表した。先日リリースされたばかりのFreeBSD 7.1も2008年末にリリースされた6系最後のFreeBSD 6.4も影響を受ける。

OpenSSLのEVP_VerifyFinal()関数に問題があり、不適切なDSA/ECDSA鍵が使われている場合に適切な鍵と誤認されてしまうケースがあることがわかった。同問題を利用されると攻撃者に介入者攻撃を許可してしまう可能性がある。DSAやECDSAを使った認証をおこなわずにRSAを使うことで一時的に問題を回避できる。

またFreeBSDベースシステムに取り込まれているFTPサーバlukemftpd(8)にセキュリティ上の脆弱性があることが明らかになった。lukemftpd(8)はデフォルトインストールでは無効になっている。