FreeBSD-SA-06:15.ypserv "Inoperative access controls in ypserv(8)"
The FreeBSD Project よりセキュリティ勧告が出ました。私の認識を以下にまとめます。
- 危険度低
セキュリティ勧告は ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:15.ypserv.asc にあります。
以下は上記のセキュリティ勧告の一部とその翻訳です。ただし品質は保証致しません。
I. 背景 - Background
The ypserv(8) utility is a server which distributes NIS databases to client systems within an NIS domain.
ypserv(8)ユーティリティはNISドメインにおけるクライアントシステムのための分散NISデータベースサーバ(ソフトウェア)です。
II. 問題の詳細 - Problem Description
There are two documented methods of restricting access to NIS maps through ypserv(8): through the use of the /var/yp/securenets file, and through the /etc/hosts.allow file. While both mechanisms are implemented in the server, a change in the build process caused the "securenets" access restrictions to be inadvertantly*1 disabled.
ypserv(8)によるNISマップへのアクセス制限方法が2つ記述されています:/var/yp/securenetsファイルの使用による方法と、/etc/hosts.allowファイルによる方法。双方の仕組みがサーバ(ソフトウェア)に実装されている限り、ビルド過程の変化が「securenets」アクセス制御の不注意による無効化を引き起こします。
III. 影響範囲 - Impact
ypserv(8) will not load or process any of the networks or hosts specified in the /var/yp/securenets file, rendering those access controls ineffective.
ypserv(8)は/var/yp/securenetsファイルにより指定されたどのネットワークまたはホストの読み込みも処理もされず、それらのアクセス制御が効果のないものとなります。
IV. 回避方法 - Workaround
One possible workaround is to use /etc/hosts.allow for access control, as shown by examples in that file.
一つの回避方法としてアクセス制御に/etc/hosts.allowを、そのファイルの例のように使用するものがあります。
Another workaround is to use a firewall (e.g., ipfw(4), ipf(4), or pf(4)) to limit access to RPC functions from untrusted systems or networks, but due to the complexities of RPC, it might be difficult to create a set of firewall rules which accomplish this without blocking all access to the machine in question.
他の回避方法として、信頼できないシステムまたはネットワークからのRPCファンクションのアクセス制限のためのfirewall(たとえば、ipfw(4),ipf(4)またはpf(4))を使用するものがありますが、しかしRPCの複雑さにより、問題となるマシンからのすべてのアクセスブロック以外にそれを成し遂げるファイアーウォールのルール一式を作成するのは難しいかもしれません。
*1:inadvertently
