0. 改訂履歴 - Revision History

v1.0 2005-05-06

Initial release.

v1.1 2005-05-07

Updated credits to include Andre Guibert de Bruet, who was inadvertantly omitted from the original advisory.
オリジナルの勧告から不注意により抜けた Andre Guibert de Bruet を加えるためクレジットを更新した。

I. 背景 - Background

The iir(4) driver provides support for the Intel Integrated RAID controllers and ICP Vortex RAID controllers.
iir(4)ドライバは、Intel Integrated RAIDコントローラおよびICP Vortex RAIDコントローラをサポートします。

II. 問題の詳細 - Problem Description

The default permissions on the /dev/iir device node allow unprivileged local users to open the device and execute ioctl calls.
/dev/iirデバイスノードのデフォルトパーミッションは、高い権限を持たないローカルユーザがデバイスをオープンし、ioctlコールを実行することを可能にしています。

III. 影響範囲 - Impact

Unprivileged local users can send commands to the hardware supported by the iir(4) driver, allowing destruction of data and possible disclosure of data.
高い権限を持たないローカルユーザは、iir(4)ドライバがサポートするハードウェアに、データ破壊を可能にする、またはデータ開示の可能性があるコマンドを送ることができます。

IV. 回避方法 - Workaround

Systems without hardware supported by the iir(4) driver are not affected by this issue. On systems which are affected, as a workaround, the permissions on /dev/iir can be changed manually.
iir(4)ドライバがサポートするハードウェアのないシステムはこの問題による影響を受けません。影響されるシステムにおいては、代替手段として、/dev/iirのパーミッションを手動で変更することができます。
As root, execute the following command:
ルート権限で以下のコマンドを実行してください。

# chmod 0600 /dev/iir*

On 5.x, the following commands are also needed to ensure that the correct permissions are used after rebooting.
5.xにおいては、リブート後に正しいパーミッションが使用されることを保証するために下記コマンドも必要です。

# echo 'perm iir* 0600' >> /etc/devfs.conf
# echo 'devfs_enable="YES"' >> /etc/rc.conf

If the administrator has created additional device nodes, or mounted additional instances of devfs(5) elsewhere in the file system name space, attention should be paid to ensure that either the iir device node is not visible in those name spaces, or is similarly protected.
もし管理者が追加のデバイスノードを作成したか、ファイルシステム・ネーム空間のどこか他のところにdevfs(5)のインスタンスを追加でマウントしたならば、iirデバイスノードがそれらのネーム空間において見えないか同様に保護されているかのどちらかであることを保証するように注意を払ってください。

><