FreeBSD - The Power To Serve |
FreeBSDプロジェクトは4月30日(米国時間)、「FreeBSD-SA-14:07.devfs」「FreeBSD-SA-14:09.openssl」「FreeBSD-SA-14:08.tcp」においてFreeBSDの特定のバージョンにセキュリティ脆弱性が存在すると報告した。該当するバージョンを使用している場合にはfreebsd-update(8)またはシステムの再構築などを通じてセキュリティ脆弱性が修正されたバージョンへのアップグレードが推奨される。
「FreeBSD-SA-14:07.devfs」はJail環境内におけるdevfs(5)動作に関するもの。デフォルト設定のままではdevfs(5)の規制が弱い状態になっていたため、デフォルトで規制ルールが適用されるようにデフォルト値が変更されている。「FreeBSD-SA-14:09.openssl」はOpenSSLの実装に不備があり特定の機能を使っている場合に別のコネクションに対してデータをインジェクションできる危険性があるというもの。
「FreeBSD-SA-14:08.tcp」はTCPサブシステムの実装に問題があり、きわめて困難という条件をつけながらも、巧みに攻撃のやり方を作り上げることでログイン情報など秘匿性の高いデータが漏洩する危険性があるというセキュリティ脆弱性だと説明がある。