[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:38248] [Translate] [SECURITY] [DSA-380-1] New xfree86 packages fix multiple vulnerabilities (その1)
かねこです。mail size too big で蹴られたので二分割。
#武藤さんの転送が出ていないのも多分そのせいだな。
URL 等は元記事を確認ください。
今回の DSA で、XFree86 3.3.6 のサポートが打ちきりになります。利用
している方は以下を読んで、対処を検討してください。
#山から下りてきたらこれだ :-(
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 380-1 security@debian.org
http://www.debian.org/security/ Matt Zimmerman
September 12th, 2003 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : xfree86
Vulnerability : バッファオーバフロー、サービス不能攻撃
Problem-Type : リモート
Debian-specific: いいえ
CVE Ids : CAN-2003-0063 CAN-2003-0071 CAN-2002-0164 CAN-2003-0730
XFree86 に 4 つの脆弱性が発見されました。
CAN-2003-0063 - xterm ウィンドウタイトル取得エスケープシーケンスによりユ
ーザを騙すことができる
xterm パッケージには、ウィンドウタイトルを入力バッファに挿入してユーザ
がちょうどそれを入力したように見える形で報告するターミナルエスケープシ
ーケンスが提供されています。攻撃者がターミナルエスケープシーケンスを作
成して、被害者の xterm ウィンドウタイトルに任意の文字列 (例えばシェル
コマンド) を設定して、そのタイトルを上記機能を用いてレポートされること
ができます。この細工が終了した後被害者がシェルプロンプト画面にいた場合、
挿入されたコマンドはコマンド行に現れて実行を待つばかりとなります。ウィ
ンドウタイトルに改行を埋め込むことはできないため、攻撃者は被害者に
Enter キーを押すように確信させて (あるいは被害者の注意不足や混乱を期待
して) シェルコマンドを実行させるか、あるいは他の会話型のプロセスで同様
の処理を行う必要があるでしょう。ただ、他のエスケープシーケンスと組み合
わせて、被害者が挿入された入力を受け付けても良いと思わせるの状況は想定
可能です。The Common Vulnerabilities and Exposures project
(cve.mitre.org) はこの問題に対して CAN-2002-0164 という識別名を与えて
います。
対象システムの xterm がこのウィンドウタイトル取得エスケープシーケンス
機能の悪用可能であるかどうかを判定するには、以下のコマンドを xterm ウ
ィンドウ中のシェルプロンプトで実行してください。
echo -e "\e[21t"
(ターミナルベルが鳴ったり、ウィンドウタイトルが頭に 'l' つきになる可能
性があります)
この脆弱性は、ターミナルウィンドウに出力を送ることのできるものならなに
からでも攻撃可能です。例えば、テキスト文書からも攻撃可能です。但し、
xterm のユーザが問題のエスケープシーケンスが送られるような動作をする必
要があります (例えば、悪意を持って作成されたテキスト文書を cat コマン
ドで見るなど)。攻撃される可能性があるかどうかは xterm がどのように使わ
れているかに依存します。例えば、以下の例を検討ください。
echo -e '\e]2;s && echo rm -rf *\a' > /tmp/sploit
echo -e '\e[21t' >> /tmp/sploit
cat /tmp/sploit
Debian では、この問題を xterm のウィンドウタイトルレポート機能を無効化
することで解決しています。このエスケープシーケンスは受け付けられますが、
無視されます。ウィンドウタイトルの設定を行うエスケープシーケンスは無効
化されてはいません。
xterm パッケージの将来のバージョンでは、ウィンドウタイトルレポート機能
を有効化する設定オプションを用意する予定ですが、標準では無効とします。
CAN-2003-0071 - xterm が DEC UDK エスケープシーケンスによるサービス不能
攻撃を受ける。
xterm パッケージは、DEC VT シリーズテキストターミナルをエミュレートした
ものであるため、DEC VT ターミナルの持つ "ユーザ定義キー (以下では UDK
と略します)" 機能もエミュレートしています。しかしながら、xterm の DEC
UDK エスケープシーケンス機能にはバグがあり、不正な形式のシーケンスによ
って xterm プロセスが内部ループすることがあります。これにより xterm プ
ロセスがスピンし、CPU 時間を無駄に消費し、シグナルを受け付けません (プ
ロセスを kill したり、ウィンドウを閉じたりすることができません)。
対象システムの xterm がこの攻撃に対して脆弱であるかどうかを判定するには、
以下のコマンドを "いけにえの" xterm ウィンドウ中のシェルプロンプトで実
行してください (このいけにえでは、後で見ないといけない結果がスクロール
バッファに残っていないことを確認してください)。
echo -e "\eP0;0|0A/17\x9c"
この脆弱性は、ターミナルウィンドウに出力を送ることのできるものならなに
からでも攻撃可能です。例えば、テキスト文書からも攻撃可能です。但し、
xterm のユーザが問題のエスケープシーケンスが送られるような動作をする必
要があります (例えば、悪意を持って作成されたテキスト文書を cat コマン
ドで見るなど)。攻撃される可能性があるかどうかは xterm がどのように使わ
れているかに依存します。
Debian では、上流からの修正を XFree86 4.1.0 にバックポートすることで、
この問題を修正しています。
CAN-2002-0164 - X サーバの MIT-SHM に欠陥があり、X セッションを所有してい
るユーザから任意の共有メモリセグメントの内容の読み書きを許してしまう。
XFree86 の X サーバも含め、MIT/X Consortium/X.Org のサンプル実装由来の
ほとんどの X サーバは、MIT-SHM と呼ばれる X プロトコルの拡張機能を持っ
ています。この MIT-SHM 機能は、X クライアントと X サーバが同一のホスト
上で動作している場合、OS 機能として共有メモリが提供されている場合、そ
れを用いて動作を高速かつ効率化するものです。例えば Linux カーネルは共
有メモリ機能を提供しています。
X サーバは特権モードで動作しますので、OS 内蔵のアクセス制御メカニズムで
は X サーバの共有メモリセグメントの利用の監視は行えません。このため X
サーバは自前のアクセス制御メカニズムを準備する必要があります。これは
XFree86 の以前のバージョン (および元々の MIT/X Consortium/X.Org のサン
プル実装) では不完全に実装されており、本来アクセスできないはずの共有メ
モリセグメントに対して悪意を持った X クライアントが読み書きができる可能
性を残しています。The Common Vulnerabilities and Exposures project
(cve.mitre.org) はこの問題に対して CAN-2002-0164 という識別名を与えてい
ます。
Debian で現在リリースされている XFree86 4.1.0-16 パッケージではこの欠陥
は不完全にしか対策されておらず、ディスプレィマネージャ (xdm など) から
起動されていない X サーバのみに対して適切なアクセスコントロールを共生す
るようになっています。今回のアップデートはこの問題を解消しています。
Debian プロジェクトではこの脆弱性の攻撃方法の存在を確認していません。但
し MIT-SHM 拡張機能を乱用した悪意を持った X クライアントを書き、ユーザ
によって (意図的に、あるいは知らぬ間に) 実行させることは可能であると考
えられています。この欠陥の影響はシステムで共有メモリがどう使われている
かに依存します。より詳しい情報は、ipcs(8) のマニュアルページを参照くだ
さい。
Debian では、上流からの修正を XFree86 4.1.0 にバックポートすることで、
この問題を修正しています。
CAN-2003-0730 - XFree86 のフォントライブラリに複数の整数オーバフローがあ
り、ローカルおよびリモートの攻撃者からヒープベースおよびスタックベース
のバッファオーバフロー攻撃により、サービス不能攻撃や任意コードの実行が
可能です。
セキュリティ研究者の "blexim" さんによると (改行を挿入しています)
私は現在のバージョンの XFree86 ソースコードのフォントライブラリにい
くつかのバグを見つけました。このバグは潜在的には、リモートから問題と
なる関数を呼んでいるプロセスに任意のコードを実行させることを許すもの
です。この関数はフォントサーバからクライアント間でのフォントの転送と
数え上げに関するものですから、このバグの影響範囲は狭い物になります。
より具体的には、いくつかのフォントサーバからクライアントに送られたサ
イジング関連変数が適切にチェックされておらず、それらの変数を用いた計
算が誤った値を返します。この誤った計算の結果、ヒープやスタックオーバ
フローが引き起こされ、潜在的に任意のコードの実行を許します。上でも触
れられているとおり、この問題の引き起こす危険の影響範囲はクライアント
のみがこのバグの影響を受けるということから制限されますが、一部の非標
準の設定環境では、xfs と X サーバの両方がリモートのフォントサーバの
クライアントとして動作可能です。このような設定がされている場合、xfs
と X サーバが潜在的に攻撃を受ける可能性があります。
The Common Vulnerabilities and Exposures project (cve.mitre.org) はこの
問題に対して CAN-2003-0730 という識別名を与えています。
Debian プロジェクトではこの脆弱性の攻撃方法の存在を確認していません。
Debian での標準的な設定では、X サーバはローカルで実行しているフォント
サーバのみを使うよう設定されていますし、xfs パッケージがインストールさ
れていない場合フォントサーバを全く使いません。Debian の xfs の標準設定
ではローカルホストのフォントディレクトリのみを用い、外部のフォントサー
バへの接続を試みるようにはなっていません。
Debian では、上流からの修正を XFree86 4.1.0 にバックポートすることで、
この問題を修正しています。
これら全ての問題は、xfree86v3 にも同様に存在します (最初の二つの欠陥に関
しては、xterm ソースコードにはバグが含まれていますが xterm パッケージは作
成されていません)。人手不足、および旧コードに対して Upstream がサポートを
行っていないことから、Debian では XFree86 3.3.6 のサポートを続けることが
できません。本勧告後半二つの欠陥の影響を回避するため、以下のパッケージが
インストールされている場合、削除することを推奨します。
xserver-3dlabs
xserver-8514
xserver-agx
xserver-common-v3
xserver-fbdev
xserver-i128
xserver-mach32
xserver-mach64
xserver-mach8
xserver-mono
xserver-p9000
xserver-s3
xserver-s3v
xserver-svga
xserver-tga
xserver-vga16
xserver-w32
(また、xext, xlib6, xlib6-altdev の各パッケージを削除することも検討してく
ださい。というのは、これらのパッケージは XFree86 3.3.6 パッケージの残りと
一緒にサポートが打ち切られているからです。但し、これらのパッケージは今回
のセキュリティ問題とは関係ありません)
現安定版 (stable) woody では、これはバージョン 4.1.0-16woody1 で修正されて
います。
不安定版 (unstable) sid では、CAN-2003-0730 以外の問題は 4.2.1-11 で修正さ
れています。CAN-2003-0730 は現在準備中の 4.2.1-12 で修正予定です。
直ぐに xfree86 パッケージをアップグレードすることを勧めます。
インストール手順
----------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
を用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693 7882 579A 3339 D6ED 97E8