セキュリティ

• 目標

  OpenBSD は、強いセキュリティを重視しています。私たちの目標は、 セキュリティについては業界ナンバーワンになることです (もうすでに ナンバーワンという説はありますが)。オープンなソフト開発モデルの おかげで、私たちは Sun、SGI、IBM、HP などのベンダにできるよりも、 セキュリティ強化について妥協のない立場をとることができます。さらに、 ベンダたちならやらないような変更だって加えます。さらに OpenBSD は 各種の暗号つきで出荷されているので、 セキュリティ問題への対応にも暗号を使用した手段が講じられるわけです。

• 完全なディスクロージャー

  BUGTRAQ メーリングリスト読者のみなさんと同じように、 私たちはセキュリティ問題は完全に公開すべきだと信じています。 オペレーティングシステムの分野では、この考え方を取り入れたのは、 私たちがおそらく最初です。多くのベンダは、フリーソフトのベンダでさえ、 いまだに問題があってもそれをユーザから 隠そうとします。

  セキュリティ情報は、クラッカの世界ではものすごい勢いで広まります。一方、 私たちの経験によれば、きちんとしたセキュリティの修正をコーディングして リリースするには、平均で 30 分ほどの作業で済みます――つまり、 修正版の出荷までは、極めて短時間でできます。ですから、完全な公開は、 セキュリティについて本当に気にかける人の役に立つと私たちは考えるわけです。

• 監査プロセス

  私たちのセキュリティ監査チームは、だいたい 6 人から 12 人程度のメンバで 構成されて、絶えず新しいセキュリティホールを見つけては塞いでいます。 私たちは 1996 年夏以来、この監査を続けてきました。セキュリティを高めるために 私たちが従うプロセスは、単純に重要なソフトウェアコンポーネントについてすべて、 ファイルをひとつずつ総合的に分析していくことです。私たちが探しているのは、 セキュリティホールというよりはむしろ、基本的なソフトのバグです。 そしてもし何年もたってから誰かが、この問題はセキュリティ上の問題がある ということを発見することがあったとしても、私たちがそれをただのバグだと思って 直していたのなら、それはそれで結構なことでしょう。 システムのほとんどあらゆる部分に欠陥が発見されています。 この監査の過程で、新しいレベルのセキュリティ問題群が発見されたこともありますし、 昔監査を行ったソースコードであっても、新発見の欠陥を念頭に、 監査し直さなくてはならないことも多いのです。コードは何度も監査され、 監査する人も複数で、監査技能も違っています。

  セキュリティ監査チームのメンバの中には、Secure Networks 社で働いていた者もいます。 この会社は、業界の先駆的なネットワークセキュリティスキャン用ソフトパッケージ Ballista を作ったところです。(Secure Networks 社はその後 Network Associates 社に買収されて、Ballista は Cybercop Scanner と改名されて、などなど...) Secure Networks 社はセキュリティ関連の研究をいろいろ行っていたので、OpenBSD のスタンスともぴったりあったわけです。OpenBSD は Ballista のテストを最初から 楽々突破したものでした。

  私たちのセキュリティ監査プロセスの別の面は、その積極性です。多くの場合、 あるセキュリティホールが悪用可能かどうかを判断する必要はない、ということに 私たちは気がつきました。監査プロセスを続ける中で、私たちはいろいろなバグを 見つけます。そして、それを悪用できることが証明されていなくても、それを 直そうとします。バグを直して、他に直すバグを探しに行くわけです。 簡単ですぐにわかるような、そそっかしいプログラミング上のエラーをコードの中に たくさん見つけますが、数ヶ月して、その問題が実は悪用可能だったということが 発見されるわけです。(あるいは、さらによくあるパターンとして、 BUGTRAQ の誰かが、 他のオペレーティングシステムが「新発見の問題」による危険にさらされている、 という報告をして、しかし OpenBSD では、それが前のリリースで修正済だったというの がわかる、というものです)。他の場合ですと、中間段階のどれかを直してあったがために、 複雑な多段階攻撃で完全な攻撃にさらされずに済んだ、ということもあります。 私たちがこのような成功を収めた一例としては、Secure Networks が出した、 lpd についての問題があります。

• 新技術

  私たちはソースコードの監査の結果、問題解決のための新しい方法をいくつか考案しました。 場合によっては、これらのアイディアは、他のところで書かれた、いくつかのバラバラの アプリケーションが以前から使用していたりしますが、おそらく私たちの行ったレベルのものではありません。

  • strlcpy() および strlcat()
  • メモリ保護の洗練化
    • W^X
    • .rodata セグメント
    • ガードページ
    • ランダム化 malloc()
    • ランダム化 mmap()
    • atexit() および stdio の保護
  • 特権分離
  • 特権放棄
  • Chroot による jail
  • 新しい UID
  • ProPolice
  • ... および、その他

• その見返り

  この積極的な監査プロセスは、十分にその報いがあるものでした。 BUGTRAQ のような セキュリティ関連フォーラムでは「この問題は OpenBSD では半年前に解決済みです」 というような発言は日常茶飯になっています。

  セキュリティ監査が最も重点的に行われたのは、 OpenBSD 2.0 リリース直前と、 2.0->2.1 への移行期でした。これは1996 年最後の四ヶ月ほどと、 1997 年前半です。何千もの (はい、何千、です) セキュリティ問題が、 この一年ほどの期間にわたり急速に修正されました。 通常のバッファオーバーフローなどのバグ、プロトコル実装の弱点、情報収集、 ファイルシステムの競合などです。従って、出くわしたセキュリティ上の問題は、 ほとんどが 2.1 リリース以前に修正され、それ以降、2.2 リリースで直す必要のある 問題はぐっと減りました。もう昔ほど問題は多くは見つかりません。 よくある収益逓減の見本です。最近では、私たちが見つけて直す セキュリティ上の問題は、以前よりものすごくマイナーでややこしいものになっています。 それでも、私たちは監査にこだわり続けます。 理由はいくつかあります:

  • たまに、昔見逃した簡単な問題を見つけるから。おっとっと！
  • セキュリティは軍拡競争のようなものだから。最高の攻撃者たちは、絶えず さらに複雑な悪用方法を探し続けているので、こちらもそうするしかない。
  • ややこしいソフトの細かい欠陥を見つけて直すのは、 とてもおもしろいから。

  監査プロセスはまだ終っていません。ご覧のとおり、私たちは新しい セキュリティ上の欠陥を見つけては直し続けていきます。

• 「デフォルトで高セキュリティ」

  OpenBSD の初心者ユーザが、一夜にしてセキュリティ専門家にならないで済むように (他のベンダはこれを期待しているようですが)、私たちはオペレーティングシステムを 出荷するとき、デフォルトで高セキュリティモードにしておきます。 あらゆる本質的でないサービスは停止させてあります。利用者・管理者がシステムに 習熟してくれば、システムのデーモンやその他の部分を有効にしなくてはならないことが わかるでしょう。新しいサービスを有効にする方法を学ぶプロセスで、初心者も、 セキュリティ上の問題点を学ぶ見込みが高いのです。

  これは、ますます多くのシステムが NFS や mountd、web サーバなど各種の サービスをデフォルトで有効にしてあるのとは、まったく対照的です。こうした システムは、ユーザが初めてインストールして数分のうちに、すぐさま セキュリティ上の問題を作り出してしまうのです。

• 暗号の使用

  そしてもちろん、OpenBSD プロジェクトはカナダベースですから、暗号を システムに統合することができます。詳しくは、 私たちが暗号で何をしたかを説明したページを見てください。

• 警告

• OpenBSD 3.8 セキュリティ警告

  以下は OpenBSD 3.8 用の警告です -- これらの問題はすべて、 カレント版の OpenBSD と パッチブランチで解決済みです。
  • None yet.

• OpenBSD 3.7 セキュリティ警告

  以下は OpenBSD 3.7 用の警告です -- これらの問題はすべて、 カレント版の OpenBSD と パッチブランチで解決済みです。
  • Jul 21, 2005: Fix another buffer overflow in the zlib library that may be exploitable.
  • Jul 6, 2005: Fix a buffer overflow in the zlib library that may be exploitable.
  • Jun 20, 2005: Fix a race condition in sudo(8) that could allow a user to run arbitrary commands.
  • Jun 7, 2005: Fix a buffer overflow, memory leaks, and NULL pointer dereference in cvs(1).

• OpenBSD 3.6 セキュリティ警告

  以下は OpenBSD 3.6 用の警告です -- これらの問題はすべて、 カレントの版の OpenBSD と パッチブランチで解決済みです。
  • Jul 21, 2005: Fix another buffer overflow in the zlib library that may be exploitable.
  • Jul 6, 2005: Fix a buffer overflow in the zlib library that may be exploitable.
  • Jun 20, 2005: Fix a race condition in sudo(8) that could allow a user to run arbitrary commands.
  • Apr 28, 2005: Fix a buffer overflow, memory leaks, and NULL pointer dereference in cvs(1).
  • Mar 30, 2005: Due to buffer overflows in telnet(1), a malicious server or man-in-the-middle attack could allow execution of arbitrary code with the privileges of the user invoking telnet(1).
  • Mar 16, 2005: More stringent checking should be done in the copy(9) functions to prevent their misuse.
  • Feb 28, 2005: More stringent checking should be done in the copy(9) functions to prevent their misuse.
  • Jan 12, 2005: httpd(8)'s mod_include module fails to properly validate the length of user supplied tag strings prior to copying them to a local buffer, causing a buffer overflow.
  • Dec 14, 2004: On systems running isakmpd(8) it is possible for a local user to cause kernel memory corruption and system panic by setting ipsec(4) credentials on a socket.

  OpenBSD 3.5 とそれ以前のリリースは、もやはサポートされていません。ですので、 次の節は、これらがメンテナンスされていたときに発行された警告のリストでしかありません。 これらのリリースは、より最近のリリース向け警告の影響を受ける可能性が高いでしょう。
  

• OpenBSD 3.5 セキュリティ警告

  以下は OpenBSD 3.5 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 3.5 のパッチブランチは既にメンテナンスされていませんので、 マシンをアップグレードしてください。
  • Apr 28, 2005: Fix a buffer overflow, memory leaks, and NULL pointer dereference in cvs(1).
  • Mar 30, 2005: Due to buffer overflows in telnet(1), a malicious server or man-in-the-middle attack could allow execution of arbitrary code with the privileges of the user invoking telnet(1).
  • Mar 16, 2005: More stringent checking should be done in the copy(9) functions to prevent their misuse.
  • Feb 28, 2005: More stringent checking should be done in the copy(9) functions to prevent their misuse.
  • Jan 12, 2005: httpd(8)'s mod_include module fails to properly validate the length of user supplied tag strings prior to copying them to a local buffer, causing a buffer overflow.
  • Dec 14, 2004: On systems running isakmpd(8) it is possible for a local user to cause kernel memory corruption and system panic by setting ipsec(4) credentials on a socket.
  • Sep 20, 2004: Radius-based authentication is vulnerable to spoofed replies.
  • Sep 16, 2004: The Xpm library has vulnerabilities when parsing malicious images.
  • Sep 10, 2004: httpd(8)'s mod_rewrite module can be made to write one zero byte in an arbitrary memory position outside of a char array, causing a DoS or possibly buffer overflows.
  • Jun 12, 2004: Multiple vulnerabilities have been found in httpd(8) / mod_ssl.
  • Jun 10, 2004: isakmpd(8) still has issues with unauthorized SA deletion, an attacker can delete IPsec tunnels at will.
  • Jun 9, 2004: Multiple remote vulnerabilities have been found in the cvs(1) server which can be used by CVS clients to crash or execute arbitrary code on the server.
  • May 30, 2004: kdc(8) performs inadequate checking of request fields, leading to the possibility of principal impersonation from other Kerberos realms if they are trusted with a cross-realm trust.
  • May 26, 2004: xdm(1) ignores the requestPort resource and creates a listening socket regardless of the setting in xdm-config.
  • May 20, 2004: A buffer overflow in the cvs(1) server has been found, which can be used by CVS clients to execute arbitrary code on the server.
  • May 13, 2004: Integer overflow problems were found in procfs, allowing reading of arbitrary kernel memory.
  • May 5, 2004: Pathname validation problems have been found in cvs(1), allowing clients and servers access to files outside the repository or local CVS tree.

• OpenBSD 3.4 セキュリティ警告

  以下は OpenBSD 3.4 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 3.4 のパッチブランチは既にメンテナスされていませんので、 マシンをアップグレードしてください。
  • Dec 14, 2004: On systems running isakmpd(8) it is possible for a local user to cause kernel memory corruption and system panic by setting ipsec(4) credentials on a socket.
  • Sep 16, 2004: The Xpm library has vulnerabilities when parsing malicious images.
  • Sep 10, 2004: httpd(8)'s mod_rewrite module can be made to write one zero byte in an arbitrary memory position outside of a char array, causing a DoS or possibly buffer overflows.
  • Jun 12, 2004: Multiple vulnerabilities have been found in httpd(8) / mod_ssl.
  • Jun 10, 2004: isakmpd(8) still has issues with unauthorized SA deletion, an attacker can delete IPsec tunnels at will.
  • Jun 9, 2004: Multiple remote vulnerabilities have been found in the cvs(1) server which can be used by CVS clients to crash or execute arbitrary code on the server.
  • May 30, 2004: kdc(8) performs inadequate checking of request fields, leading to the possibility of principal impersonation from other Kerberos realms if they are trusted with a cross-realm trust.
  • May 20, 2004: A buffer overflow in the cvs(1) server has been found, which can be used by CVS clients to execute arbitrary code on the server.
  • May 13, 2004: Integer overflow problems were found in procfs, allowing reading of arbitrary kernel memory.
  • May 5, 2004: Pathname validation problems have been found in cvs(1), allowing clients and servers access to files outside the repository or local CVS tree.
  • 2004 年 3 月 17 日: NULL ポインタ被参照のチェックが欠落していたことにより、リモートの攻撃者は OpenSSL を使用するアプリケーションをクラッシュさせることができます。
  • 2004 年 3 月 17 日: isakmpd のペイロードの検証および処理関数の欠陥が発見されました。 攻撃者は、異常な ISAKMP メッセージを送信し、isakmpd のクラッシュや無限ループを引き起こすことができてしまいます。
  • 2004 年 3 月 13 日: httpd(8) のアクセスモジュール用の Allow/Deny ルールの構文解析のバグが原因で、 ビッグエンディアンの 64 ビットプラットフォーム上で、ネットマスクを指定せずに IP アドレスを使用しているとルールのマッチが失敗します。これは sparc64 にのみ影響します。
  • 2004 年 2 月 8 日: IPv6 には、攻撃者がサービス拒否攻撃を実行するために使用できる、 MTU のハンドリングの問題が存在しています。
  • 2004 年 2 月 5 日: 特定の環境下でカーネルメモリへの書き込みに使用することができる 参照カウントのバグが shmat(2) に存在しています。
  • 2004 年 1 月 13 日: いくつかのメッセージハンドリングの欠陥が isakmpd(8) に存在することが Thomas Walpuski によって報告されました。
  • 2003 年 11 月 17 日: ローカルユーザは、compat_ibcs2(8) のスタックをオーバーフローさせ、 カーネルをパニックに陥れることができる可能性があります。
  • 2003 年 11 月 1 日: ある種の ASN.1 エンコーディングや奇形の公開鍵の使用によって、 攻撃者は ssl(3) がリンクされたアプリケーションに対して サービス拒否攻撃を行うことができる可能性があります。

• OpenBSD 3.3 セキュリティ警告

  以下は OpenBSD 3.3 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 3.3 のパッチブランチは既にメンテナンスされていませんので、 マシンをアップグレードしてください。
  • May 5, 2004: Pathname validation problems have been found in cvs(1), allowing clients and servers access to files outside the repository or local CVS tree.
  • 2004 年 3 月 17 日: NULL ポインタ被参照のチェックが欠落していたことにより、リモートの攻撃者は OpenSSL を使用するアプリケーションをクラッシュさせることができます。
  • 2004 年 3 月 17 日: isakmpd のペイロードの検証および処理関数の欠陥が発見されました。 攻撃者は、異常な ISAKMP メッセージを送信し、isakmpd のクラッシュや無限ループを引き起こすことができてしまいます。
  • 2004 年 3 月 13 日: httpd(8) のアクセスモジュール用の Allow/Deny ルールの構文解析のバグが原因で、 ビッグエンディアンの 64 ビットプラットフォーム上で、ネットマスクを指定せずに IP アドレスを使用しているとルールのマッチが失敗します。これは sparc64 にのみ影響します。
  • 2004 年 2 月 8 日: IPv6 には、攻撃者がサービス拒否攻撃を実行するために使用できる、 MTU のハンドリングの問題が存在しています。
  • 2004 年 2 月 5 日: 特定の環境下でカーネルメモリへの書き込みに使用することができる 参照カウントのバグが shmat(2) に存在しています。
  • 2004 年 1 月 15 日: いくつかのメッセージハンドリングの欠陥が isakmpd(8) に存在することが Thomas Walpuski によって報告されました。
  • 2003 年 11 月 17 日: compat_ibcs2(8) のスタックをオーバーランさせることによる 権限昇格の結果、ローカルユーザは、 任意のコードを実行できる可能性があります。
  • 2003 年 10 月 1 日: ある種の ASN.1 エンコーディングや奇形の公開鍵の使用によって、攻撃者は ssl(3) がリンクされたアプリケーションに対してサービス拒否攻撃を行うことができる 可能性があります。この問題は、OpenSSH には影響を及ぼしません。
  • 2003 年 9 月 24 日: scrub ルールを使用するマシンにリモートからパニックを発生させるため、 pf(4) の解放済のメモリに対するアクセスを使用することができます。
  • 2003 年 9 月 17 日: sendmail(8) のアドレス解析部のバッファオーバーフローにより、 攻撃者は root 権限を得られる可能性があります。
  • 2003 年 9 月 16 日: バージョン 3.7 以前のすべての OpenSSH には、 潜在的に悪用可能なバッファ管理の誤りがありました。
  • 2003 年 9 月 10 日: セマフォの制限が非常に大きく取られた場合の整数のバッファオーバーフローにより、 root はセキュリティレベルを下げてしまうことができてしまうかも知れません。
  • 2003 年 8 月 20 日: カーネル内の境界チェックが正しくないため、ローカルユーザが カーネルパニックを発生させてしまうかも知れません。
  • 2003 年 8 月 4 日: C ライブラリ関数 realpath(3) に、攻撃者に対して上位権限の奪取を 許してしまうかも知れないひとつ違い (off-by-one) のバグが存在しています。

• OpenBSD 3.2 セキュリティ警告

  以下は OpenBSD 3.2 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 3.2 のパッチブランチは既にメンテナンスされていませんので、 マシンをアップグレードしてください。
  • 2003 年 10 月 1 日: ある種の ASN.1 エンコーディングや奇形の公開鍵の使用によって、攻撃者は ssl(3) がリンクされたアプリケーションに対してサービス拒否攻撃を行うことができる 可能性があります。この問題は、OpenSSH には影響を及ぼしません。
  • 2003 年 9 月 24 日: scrub ルールを使用するマシンにリモートからパニックを発生させるため、 pf(4) の解放済のメモリに対するアクセスを使用することができます。
  • 2003 年 9 月 17 日: sendmail(8) のアドレス解析部のバッファオーバーフローにより、 攻撃者は root 権限を得られる可能性があります。
  • 2003 年 9 月 16 日: バージョン 3.7 以前のすべての OpenSSH には、 潜在的に悪用可能なバッファ管理の誤りがありました。
  • 2003 年 8 月 25 日: DNS のマップに関連する sendmail(8) の 潜在的なセキュリティ上の問題を修正しました。
  • 2003 年 8 月 4 日: C ライブラリ関数 realpath(3) に、攻撃者に対して上位権限の奪取を 許してしまうかも知れないひとつ違い (off-by-one) のバグが存在しています。
  • 2003 年 3 月 31 日: sendmail(8) のアドレス解析中のバッファオーバーフローにより、 攻撃者に root 権限の奪取を許してしまうかも知れません。
  • 2003 年 3 月 24 日: Kerberos v5 の場合と同様に、Kerberos v4 のプロトコルにも、 悪用可能な暗号化の弱点があります。
  • 2003 年 3 月 19 日: OpenSSL は、チェコの研究者 Klima、Pokorny ならびに Rosa によって設計された ``Bleichenbacher'' 攻撃の拡張に対して脆弱です。
  • 2003 年 3 月 18 日: OpenSSL のさまざまな SSL および TLS の操作は、 タイミング攻撃に対して脆弱です。
  • 2003 年 3 月 5 日: lprm(1) には、攻撃者に daemon ユーザの権限の奪取を許してしまうかも知れない バッファオーバーフローが存在しています。
  • 2003 年 3 月 3 日: sendmail(8) の、エンベロープ中のコメント処理には、攻撃者が root 権限を奪取できる危険性のあるバッファオーバーフローが存在しています。
  • 2003 年 2 月 25 日: httpd(8) は、マルチパート MIME 用のバウンダリ生成に子プロセスの PID をリークしてしまうのと同様、Etag ヘッダ経由でファイルの inode もリークしてしまいます。これは、たとえば、ファイルハンドルの一部に inode 番号を使用する NFS での権限の奪取につながり得るものです。
  • 2003 年 2 月 22 日: ssl(8) において、MAC の計算を実行するタイミングで、不正なブロック暗号化 パッディングが発見されたとしても、情報のリークが発生し得ます。 これはその対策です。割り当てルーチンにおける、 負のサイズのチェックもまた同様です。
  • 2003 年 1 月 20 日: cvs(1) には、cvs コマンドが特権ユーザとして 実行されるよう cvs が設定されている場合に 特権奪取につながる二重の free が存在しています。
  • 2002 年 11 月 14 日: named(8) には、chroot された jail の環境下で named ユーザの権限でコードの実行や リモートからのクラッシュにつながるバッファオーバーフローが存在しています。
  • 2002 年 11 月 6 日: カーネルのメモリ割り当て機能 pool の論理的なエラーにより、 メモリが少ない状況で、システムのクラッシュの原因となる メモリの改変が発生することがあります。
  • 2002 年 11 月 6 日: 攻撃者は smrsh(8) の制限を回避して 彼自身のアカウントの権限で任意のコマンドを実行可能です。
  • 2002 年 11 月 6 日: scrub を有効にした pf を実行するネットワーク bridge は、 システムクラッシュの原因となる mbuf の改変の原因となり得ます。
  • 2002 年 10 月 21 日: リモートからのクラッシュや不正侵入につながる可能性のあるバッファ オーバーフローが kadmind(8) デーモンで発生する可能性があります。

• OpenBSD 3.1 セキュリティ警告

  以下は OpenBSD 3.1 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 3.1 のパッチブランチは既にメンテナンスされていませんので、 マシンをアップグレードしてください。
  • 2003 年 3 月 31 日: sendmail(8) のアドレス解析中のバッファオーバーフローにより、 攻撃者に root 権限の奪取を許してしまうかも知れません。
  • 2003 年 3 月 24 日: Kerberos v5 の場合と同様に、Kerberos v4 のプロトコルにも、 悪用可能な暗号化の弱点があります。
  • 2003 年 3 月 19 日: OpenSSL は、チェコの研究者 Klima、Pokorny ならびに Rosa によって設計された ``Bleichenbacher'' 攻撃の拡張に対して脆弱です。
  • 2003 年 3 月 18 日: OpenSSL のさまざまな SSL および TLS の操作は、 タイミング攻撃に対して脆弱です。
  • 2003 年 3 月 5 日: lprm(1) には、攻撃者に root の特権の奪取を許してしまうかも知れない バッファオーバーフローが存在しています。
  • 2003 年 3 月 3 日: sendmail(8) の、エンベロープ中のコメント処理には、攻撃者が root 権限を奪取できる危険性のあるバッファオーバーフローが存在しています。
  • 2003 年 2 月 23 日: ssl(8) において、MAC の計算を実行するタイミングで、不正なブロック暗号化 パッディングが発見されたとしても、情報のリークが発生し得ます。 これはその対策です。割り当てルーチンにおける、 負のサイズのチェックもまた同様です。
  • 2003 年 1 月 20 日: cvs(1) には、cvs コマンドが特権ユーザとして 実行されるよう cvs が設定されている場合に 特権奪取につながる二重の free が存在しています。
  • 2002 年 11 月 14 日: named(8) には、chroot された jail の環境下で named ユーザの権限でコードの実行や リモートからのクラッシュにつながるバッファオーバーフローが存在しています。
  • 2002 年 11 月 6 日: getitimer(2) システムコールの不正な引数チェックが、 攻撃者にシステムのクラッシュを許してしまいます。
  • 2002 年 11 月 6 日: 攻撃者は smrsh(8) の制限を回避して 彼自身のアカウントの権限で任意のコマンドを実行可能です。
  • 2002 年 10 月 21 日: リモートからのクラッシュや不正侵入につながる可能性のあるバッファ オーバーフローが kadmind(8) デーモンで発生する可能性があります。
  • 2002 年 10 月 2 日: setitimer(2) システムコールの間違った引数チェックのため、攻撃者に カーネルメモリの書き換えを許してしまう危険性があります。
  • 2002 年 8 月 11 日: select システムコールの不完全な境界チェックのため、 カーネルメモリの上書き、 ならびにカーネルの環境下で任意のコードの実行を攻撃者に許してしまいます。
  • 2002 年 7 月 30 日: いくつかのリモートバッファオーバーフローが ssl(8) ライブラリの SSL2 サーバおよび SSL3 クライアントで発生し得ます。そして、crypto(3) ライブラリの ASN.1 解析コードに存在するため、これらは潜在的に リモートから侵入可能です。
  • 2002 年 7 月 29 日: xdr_array(3) の RPC コードに、リモートからのクラッシュにつながる バッファオーバーフローが発生する危険性があります。
  • 2002 年 7 月 29 日: pppd(8) デーモンには、任意のファイルのファイルパーミッションを 変更可能な競合条件が存在しています。
  • 2002 年 7 月 5 日: シーケンス番号の範囲外の IKE ペイロードを受信することによって、 isakmpd(8) はクラッシュします。
  • 2002 年 6 月 27 日: set[ug]id プロセスの ktrace を、どのユーザでもカーネルは実行してしまいます。
  • 2002 年 6 月 26 日: httpd の mod_ssl モジュールの中の .htaccess の解析コードに、リモートからの クラッシュや不正侵入につながるバッファオーバーフローが発生する危険性があります。
  • 2002 年 6 月 25 日: DNS のレゾルバに潜在的なバッファオーバーフローが発見されました。
  • 2002 年 6 月 24 日: OpenSSH 2.3.1 から 3.3 までのすべてのバージョンの sshd には、 整数オーバーフローが発生し、そのために権限の奪取ができてしまう、 入力の確認エラーが含まれています。
  • 2002 年 6 月 19 日: http デーモンで、chunk エンコード形式の要求を処理中に、リモートからのクラッシュに つながる危険性のあるバッファオーバーフローが発生する危険性があります。
  • 2002 年 5 月 22 日: パスワードデータベース内に netgroups が使われている YP を使用して運用 されているようなシステムでは、ある条件下で、sshd(8) は、要求された ユーザ名で ACL のチェックを行う際に、異なるユーザのデータベース エントリを使用して認証してしまう可能性があります。これによって、 許可されたユーザが締め出されてしまう一方で、許可されていないユーザ の認証が成功してしまうかも知れないという危険性があります。
  • 2002 年 5 月 8 日: setuid プロセス用の 0 〜 2 の fd スロットのための kernel の 保護を破ることが可能な競合状態が存在しています。
  • 2002 年 4 月 25 日: sudo には、ヒープの改竄を攻撃者に許す危険性のあるバグがあります。
  • 2002 年 4 月 22 日: もし、システムで AFS が設定されているか、あるいは、sshd_config ファイル内で KerberosTgtPassing または AFSTokenPassing が有効化 されている場合に発生し得る sshd(8) のバッファオーバーフローのため、 ローカルユーザがスーパーユーザの特権を得ることができてしまいます。

• OpenBSD 3.0 セキュリティ警告

  以下は OpenBSD 3.0 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 3.0 のパッチブランチは既にメンテナンスされていませんので、 マシンをアップグレードしてください。
  • 2002 年 11 月 14 日: named(8) には、chroot された jail の環境下で named ユーザの権限でコードの実行や リモートからのクラッシュにつながるバッファオーバーフローが存在しています。
  • 2002 年 11 月 6 日: getitimer(2) システムコールの不正な引数チェックが、 攻撃者にシステムのクラッシュを許してしまいます。
  • 2002 年 11 月 6 日: 攻撃者は smrsh(8) の制限を回避して 彼自身のアカウントの権限で任意のコマンドを実行可能です。
  • 2002 年 10 月 21 日: リモートからのクラッシュや不正侵入につながる可能性のあるバッファ オーバーフローが kadmind(8) デーモンで発生する可能性があります。
  • 2002 年 10 月 7 日: setitimer(2) システムコールの間違った引数チェックのため、攻撃者に カーネルメモリの書き換えを許してしまう危険性があります。
  • 2002 年 8 月 11 日: select システムコールの不完全な境界チェックのため、 カーネルメモリの上書き、 ならびにカーネルの環境下で任意のコードの実行を攻撃者に許してしまいます。
  • 2002 年 7 月 30 日: いくつかのリモートバッファオーバーフローが ssl(8) ライブラリの SSL2 サーバおよび SSL3 クライアントで発生し得ます。そして、crypto(3) ライブラリの ASN.1 解析コードに存在するため、これらは潜在的に リモートから侵入可能です。
  • 2002 年 7 月 29 日: xdr_array(3) の RPC コードに、リモートからのクラッシュにつながる バッファオーバーフローが発生する危険性があります。
  • 2002 年 7 月 29 日: pppd(8) デーモンには、任意のファイルのファイルパーミッションを 変更可能な競合条件が存在しています。
  • 2002 年 7 月 5 日: シーケンス番号の範囲外の IKE ペイロードを受信することによって、 isakmpd(8) はクラッシュします。
  • 2002 年 6 月 27 日: set[ug]id プロセスの ktrace を、どのユーザでもカーネルは実行してしまいます。
  • 2002 年 6 月 25 日: DNS のレゾルバに潜在的なバッファオーバーフローが発見されました。
  • 2002 年 6 月 24 日: OpenSSH 2.3.1 から 3.3 までのすべてのバージョンの sshd には、 整数オーバーフローが発生し、そのために権限の奪取ができてしまう、 入力の確認エラーが含まれています。
  • 2002 年 6 月 24 日: httpd の mod_ssl モジュールの中の .htaccess の解析コードに、リモートからの クラッシュや不正侵入につながるバッファオーバーフローが発生する危険性があります。
  • 2002 年 6 月 19 日: http デーモンで、chunk エンコード形式の要求を処理中に、リモートからのクラッシュに つながる危険性のあるバッファオーバーフローが発生する危険性があります。
  • 2002 年 5 月 8 日: setuid プロセス用の 0 〜 2 の fd スロットのための kernel の 保護を破ることが可能な競合状態が存在しています。
  • 2002 年 4 月 25 日: sudo には、ヒープの改竄を攻撃者に許す危険性のあるバグがあります。
  • 2002 年 4 月 22 日: もし、システムで AFS が設定されているか、あるいは、sshd_config ファイル内で KerberosTgtPassing または AFSTokenPassing が有効化 されている場合に発生し得る sshd(8) のバッファオーバーフローのため、 ローカルユーザがスーパーユーザの特権を得ることができてしまいます。
  • 2002 年 4 月 11 日: mail(1) は、非対話モードで呼び出された場合にも、ティルダエスケープを 解釈してしまっていました。mail(1) は cron から root 権限で呼び出される ので、これはローカルでの root 権限の奪取につながる危険性があります。
  • 2002 年 3 月 19 日: ある条件下において、パスワードデータベース中に netgroups を持つ NIS を使用しているシステム上で、rexecd(8) と rshd(8) デーモンは、 異なるユーザのためのパスワードデータベースエントリからシェルを 実行できてしまいます。同様に、atrun(8) は、ジョブの実行時に 正しくないホームディレクトリに変更できてしまうかも知れません。
  • 2002 年 3 月 13 日: zlib ライブラリには潜在的に二重の free() の危険性が存在していますが、 これは OpenBSD 上では悪用できません。 カーネルにもまた、zlib のコピーが含まれていますが、これを悪用できる 可能性については現時点では知られていません。
  • 2002 年 3 月 8 日: OpenSSH のチャネルフォワーディングコードの「ひとつ違い (off-by-one)」 の検査は、スーパーユーザ権限の奪取をローカルユーザに許してしまいます。
  • 2002 年 1 月 21 日: ptrace(2) と execve(2) システムコール間の競合状態は, スーパー ユーザアカウントの権限を得ることもできる、suid/sgid された プロセスのメモリの内容の改変を、攻撃者に許してしまいます。
  • 2002 年 1 月 17 日: sudo(8) には、sendmail 代替プログラムの Postfix がインストール されている場合に、ローカルホスト上の攻撃者が root 権限を奪取 することが可能なセキュリティホールがあります。
  • 2001 年 11 月 28 日: 攻撃者は、リモートから lpd デーモンが実行されているマシン上に lpd プロトコルで接続し、ルートディレクトリに 新しいファイルを作成することが可能です。
  • 2001 年 11 月 13 日: vi.recover スクリプトを悪用して、 長さがゼロである任意のファイルを削除することが可能です。
  • 2001 年 11 月 13 日: pf(4) は、ipv6 の icmp パケットを取り扱うことができませんでしたので、 その結果としてクラッシュします。
  • 2001 年 11 月 12 日: もし、管理者が KerberosV を有効にしていれば、-- そしてその場合だけ -- 攻撃者が不完全に認証されてしまうセキュリティホールが存在します。

• OpenBSD 2.9 セキュリティ警告

  以下は OpenBSD 2.9 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 2.9 のパッチブランチは既にメンテナンスされていませんので、 マシンをアップグレードしてください。
  • 2002 年 6 月 25 日: DNS のレゾルバに潜在的なバッファオーバーフローが発見されました。
  • 2002 年 5 月 8 日: setuid プロセス用の 0 〜 2 の fd スロットのための kernel の 保護を破ることが可能な競合状態が存在しています。
  • 2002 年 4 月 25 日: sudo には、ヒープの改竄を攻撃者に許す危険性のあるバグがあります。
  • 2002 年 4 月 22 日: もし、システムで AFS が設定されているか、あるいは、sshd_config ファイル内で KerberosTgtPassing または AFSTokenPassing が有効化 されている場合に発生し得る sshd(8) のバッファオーバーフローのため、 ローカルユーザがスーパーユーザの特権を得ることができてしまいます。
  • 2002 年 4 月 11 日: mail(1) は、非対話モードで呼び出された場合にも、ティルダエスケープを 解釈してしまっていました。mail(1) は cron から root 権限で呼び出される ので、これはローカルでの root 権限の奪取につながる危険性があります。
  • 2002 年 3 月 13 日: zlib ライブラリには潜在的に二重の free() の危険性が存在していますが、 これは OpenBSD 上では悪用できません。 カーネルにもまた、zlib のコピーが含まれていますが、これを悪用できる 可能性については現時点では知られていません。
  • 2002 年 3 月 8 日: OpenSSH のチャネルフォワーディングコードの「ひとつ違い (off-by-one)」 の検査は、スーパーユーザ権限の奪取をローカルユーザに許してしまいます。
  • 2002 年 1 月 21 日: ptrace(2) と execve(2) システムコール間の競合状態は、スーパー ユーザアカウントの権限を得ることもできる、suid/sgid された プロセスのメモリの内容の改変を、攻撃者に許してしまいます。
  • 2002 年 1 月 17 日: sudo(8) には、sendmail 代替プログラムの Postfix がインストール されている場合に、ローカルホスト上の攻撃者が root 権限を奪取 することが可能なセキュリティホールがあります。
  • 2001 年 11 月 28 日: 攻撃者は、リモートから lpd デーモンが実行されているマシン上に lpd プロトコルで接続し、ルートディレクトリに 新しいファイルを作成することが可能です。
  • 2001 年 11 月 13 日: vi.recover スクリプトを悪用して、 長さがゼロである任意のファイルを削除することが可能です。
  • 2001 年 9 月 11 日: 攻撃者に root 権限の取得を許してしまうかも知れない セキュリティホールが uuxqt(8) には存在しています。
  • 2001 年 8 月 29 日: もし、lpd(8) が実行されている場合に、攻撃者が root 権限を奪取することが 可能なセキュリティホールが存在しています。
  • 2001 年 8 月 21 日: sendmail(8) には、ローカルホスト上の攻撃者に root 権限を 奪取可能なセキュリティホールが存在しています。
  • 2001 年 7 月 30 日: カーネルの NFS のコード中のバッファオーバーフローには、マウント権限のある ユーザ (デフォルトでは root だけです) に、任意のコードを実行させてしまう 危険性があります。
  • 2001 年 6 月 15 日: ローカルの root 権限の奪取につながり得るカーネルの競合状態が存在します。
  • 2001 年 6 月 12 日: sshd(8) は、もし、X11 の転送が有効になっている場合、ユーザが "cookies" という名前の任意のファイルを消去することを許して しまいます。X11 の転送はデフォルトでは無効になっています。
  • 2001 年 5 月 30 日: fts ルーチンを使用しているプログラムは、騙されて正しくない ディレクトリに変更し得ます。
  • 2001 年 5 月 29 日: Sendmail のシグナルハンドラには、数多くの競合状態を 招くような、安全ではないコードが含まれています。

• OpenBSD 2.8 セキュリティ警告

  以下は OpenBSD 2.8 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 2.8 のパッチブランチは既にメンテナンスされていませんので、 マシンをアップグレードしてください。
  • September 11, 2001: A security hole exists in uuxqt(8) that may allow an attacker to gain root privileges.
  • August 29, 2001: A security hole exists in lpd(8) that may allow an attacker to gain root privileges if lpd is running.
  • August 21, 2001: A security hole exists in sendmail(8) that may allow an attacker on the local host to gain root privileges.
  • June 15, 2001: A race condition in the kernel can lead to local root compromise.
  • May 30, 2001: Programs using the fts routines can be tricked into changing into the wrong directory.
  • May 29, 2001: Sendmail signal handlers contain unsafe code, leading to numerous race conditions.
  • Apr 23, 2001: IPF contains a serious bug with its handling of fragment caching.
  • Apr 23, 2001: ftpd(8) contains a potential DoS relating to glob(3).
  • Apr 10, 2001: The glob(3) library call contains multiple buffer overflows.
  • Mar 18, 2001: The readline library creates history files with permissive modes based on the user's umask.
  • Mar 2, 2001: Insufficient checks in the IPSEC AH IPv4 option handling code can lead to a buffer overrun in the kernel.
  • Mar 2, 2001: The USER_LDT kernel option allows an attacker to gain access to privileged areas of kernel memory.
  • Feb 22, 2001: a non-exploitable buffer overflow was fixed in sudo(8).
  • Jan 29, 2001: merge named(8) with ISC BIND 4.9.8-REL, which fixes some buffer vulnerabilities.
  • Jan 22, 2001: rnd(4) did not use all of its input when written to.
  • Dec 22, 2000: xlock(1)'s authentication was re-done to authenticate via a named pipe. (patch and new xlock binaries included).
  • Dec 18, 2000: Procfs contains numerous overflows. Procfs is not used by default in OpenBSD. (patch included).
  • Dec 10, 2000: Another problem exists in KerberosIV libraries (patch included).
  • Dec 7, 2000: A set of problems in KerberosIV exist (patch included).
  • Dec 4, 2000: A single-byte buffer overflow exists in ftpd (patch included).

• OpenBSD 2.7 セキュリティ警告

  以下は OpenBSD 2.7 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 当然ながら、OpenBSD 2.6 以下の警告はすべて、 OpenBSD 2.7 では修正済みです。
  • Mar 18, 2001: The readline library creates history files with permissive modes based on the user's umask.
  • Feb 22, 2001: a buffer overflow was fixed in sudo(8).
  • Dec 4, 2000: A single-byte buffer overflow exists in ftpd (patch included).
  • Nov 10, 2000: Hostile servers can force OpenSSH clients to do agent or X11 forwarding. (patch included)
  • Oct 26, 2000: X11 libraries have 2 potential overflows in xtrans code. (patch included)
  • Oct 18, 2000: Apache mod_rewrite and mod_vhost_alias modules could expose files on the server in certain configurations if used. (patch included)
  • Oct 10, 2000: The telnet daemon does not strip out the TERMINFO, TERMINFO_DIRS, TERMPATH and TERMCAP environment variables as it should. (patch included)
  • Oct 6, 2000: There are printf-style format string bugs in several privileged programs. (patch included)
  • Oct 6, 2000: libcurses honored terminal descriptions in the $HOME/.terminfo directory as well as in the TERMCAP environment variable for setuid and setgid applications. (patch included)
  • Oct 6, 2000: A format string vulnerability exists in talkd(8). (patch included)
  • Oct 3, 2000: A format string vulnerability exists in the pw_error() function of the libutil library, yielding localhost root through chpass(1). (patch included)
  • Sep 18, 2000: Bad ESP/AH packets could cause a crash under certain conditions. (patch included)
  • Aug 16, 2000: A format string vulnerability (localhost root) exists in xlock(1). (patch included)
  • July 14, 2000: Various bugs found in X11 libraries have various side effects, almost completely denial of service in OpenBSD. (patch included)
  • July 5, 2000: Just like pretty much all the other unix ftp daemons on the planet, ftpd had a remote root hole in it. Luckily, ftpd was not enabled by default. The problem exists if anonymous ftp is enabled. (patch included)
  • July 5, 2000: Mopd, very rarely used, contained some buffer overflows. (patch included)
  • June 28, 2000: libedit would check for a .editrc file in the current directory. Not known to be a real security issue, but a patch is available anyways. (patch included)
  • June 24, 2000: A serious bug in dhclient(8) could allow strings from a malicious dhcp server to be executed in the shell as root. (patch included)
  • June 9, 2000: A serious bug in isakmpd(8) policy handling wherein policy verification could be completely bypassed in isakmpd. (patch included)
  • June 6, 2000: The non-default flag UseLogin in /etc/sshd_config is broken, should not be used, and results in security problems on other operating systems.
  • May 26, 2000: The bridge(4) learning flag may be bypassed. (patch included)
  • May 25, 2000: Improper use of ipf keep-state rules can result in firewall rules being bypassed. (patch included)

• OpenBSD 2.6 セキュリティ警告

  以下は OpenBSD 2.6 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 当然ながら、OpenBSD 2.5 以下の警告はすべて、 OpenBSD 2.6 では修正済みです。
  • May 26, 2000: SYSV semaphore support contained an undocumented system call which could wedge semaphore-using processes from exiting. (patch included)
  • May 25, 2000: Improper use of ipf keep-state rules can result in firewall rules being bypassed. (patch included)
  • May 25, 2000: xlockmore has a bug which a localhost attacker can use to gain access to the encrypted root password hash (which is normally encoded using blowfish (see crypt(3)) (patch included).
  • Jan 20, 2000: Systems running with procfs enabled and mounted are vulnerable to a very tricky exploit. procfs is not mounted by default. (patch included).
  • Dec 4, 1999: Sendmail permitted any user to cause a aliases file wrap, thus exposing the system to a race where the aliases file did not exist. (patch included).
  • Dec 4, 1999: Various bugs in poll(2) may cause a kernel crash.
  • Dec 2, 1999: A buffer overflow in the RSAREF code included in the USA version of libssl, is possibly exploitable in httpd, ssh, or isakmpd, if SSL/RSA features are enabled. (patch included).
    Update: Turns out that this was not exploitable in any of the software included in OpenBSD 2.6.
  • Nov 9, 1999: Any user could change interface media configurations, resulting in a localhost denial of service attack. (patch included).

• OpenBSD 2.5 セキュリティ警告

  以下は OpenBSD 2.5 用の警告です――これらの問題はすべて、 カレント版のOpenBSDでは解決済みです。 当然ながら、OpenBSD 2.4 以下の警告はすべて、 OpenBSD 2.5では修正済みです。
  • Aug 30, 1999: In cron(8), make sure argv[] is NULL terminated in the fake popen() and run sendmail as the user, not as root. (patch included).
  • Aug 12, 1999: The procfs and fdescfs filesystems had an overrun in their handling of uio_offset in their readdir() routines. (These filesystems are not enabled by default). (patch included).
  • Aug 9, 1999: Stop profiling (see profil(2)) when we execve() a new process. (patch included).
  • Aug 6, 1999: Packets that should have been handled by IPsec may be transmitted as cleartext. PF_KEY SA expirations may leak kernel resources. (patch included).
  • Aug 5, 1999: In /etc/rc, use mktemp(1) for motd re-writing and change the find(1) to use -execdir (patch included).
  • Jul 30, 1999: Do not permit regular users to chflags(2) or fchflags(2) on character or block devices which they may currently be the owner of (patch included).
  • Jul 27, 1999: Cause groff(1) to be invoked with the -S flag, when called by nroff(1) (patch included).

• OpenBSD 2.4 セキュリティ警告

  以下は OpenBSD 2.4 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 当然ながら、OpenBSD 2.3 以下の警告はすべて、 OpenBSD 2.4 では修正済みです。
  • Mar 22, 1999: The nfds argument for poll(2) needs to be constrained, to avoid kvm starvation (patch included).
  • Mar 21, 1999: A change in TSS handling stops another kernel crash case caused by the crashme program (patch included).
  • Feb 25, 1999: An unbounded increment on the nlink value in FFS and EXT2FS filesystems can cause a system crash. (patch included).
  • Feb 23, 1999: Yet another buffer overflow existed in ping(8). (patch included).
  • Feb 19, 1999: ipintr() had a race in use of the ipq, which could permit an attacker to cause a crash. (patch included).
  • Feb 17, 1999: A race condition in the kernel between accept(2) and select(2) could permit an attacker to hang sockets from remote. (patch included).
  • Feb 17, 1999: IP fragment assembly can bog the machine excessively and cause problems. (patch included).
  • Feb 12, 1999: i386 T_TRCTRAP handling and DDB interacted to possibly cause a crash. (patch included).
  • Feb 11, 1999: TCP/IP RST handling was sloppy. (patch included).
  • Nov 27, 1998: There is a remotely exploitable problem in bootpd(8). (patch included).
  • Nov 19, 1998: There is a possibly locally exploitable problem relating to environment variables in termcap and curses. (patch included).
  • Nov 13, 1998: There is a remote machine lockup bug in the TCP decoding kernel. (patch included).

• OpenBSD 2.3 セキュリティ警告

  以下は OpenBSD 2.3 用の警告です――これらの問題はすべて、 カレント版の OpenBSD では解決済みです。 当然ながら、OpenBSD 2.2 以下の警告はすべて、 OpenBSD 2.3 では修正済みです。
  • Nov 27, 1998: There is a remotely exploitable problem in bootpd(8). (patch included).
  • Nov 13, 1998: There is a remote machine lockup bug in the TCP decoding kernel. (patch included).
  • August 31, 1998: A benign looking resolver buffer overflow bug was re-introduced accidentally (patches included).
  • Aug 2, 1998: chpass(1) has a file descriptor leak which allows an attacker to modify /etc/master.passwd.
  • July 15, 1998: Inetd had a file descriptor leak.
  • Jul 2, 1998: setuid and setgid processes should not be executed with fd slots 0, 1, or 2 free. (patch included).
  • June 6, 1998: Further problems with the X libraries (patches included).
  • May 17, 1998: kill(2) of setuid/setgid target processes too permissive (4th revision patch included).
  • May 11, 1998: mmap() permits partial bypassing of immutable and append-only file flags. (patch included).
  • May 5, 1998: Incorrect handling of IPSEC packets if IPSEC is enabled (patch included).
  • May 1, 1998: Buffer overflow in xterm and Xaw (CERT advisory VB-98.04) (patch included).

• OpenBSD 2.2 セキュリティ警告

  以下は OpenBSD 2.2 用の警告です。これらの問題はすべて、 OpenBSD 2.3 では解決済みです。一部の問題は、 他のオペレーティングシステムにはまだ残っています (ここに挙げたパッチは OpenBSD 2.2 用のものです。OpenBSD 2.1 では使用できない場合があります)
  • May 5, 1998: Incorrect handling of IPSEC packets if IPSEC is enabled (patch included).
  • May 1, 1998: Buffer overflow in xterm and Xaw (CERT advisory VB-98.04) (patch included).
  • Apr 22, 1998: Buffer overflow in uucpd (patch included).
  • Apr 22, 1998: Buffer mismanagement in lprm (patch included).
  • Mar 31, 1998: Overflow in ping -R (patch included).
  • Mar 30, 1998: Overflow in named fake-iquery (patch included).
  • Mar 2, 1998: Accidental NFS filesystem export (patch included).
  • Feb 26, 1998: Read-write mmap() flaw. Revision 3 of the patch is available here
  • Feb 19, 1998: Sourcerouted Packet Acceptance. A patch is available here.
  • Feb 13, 1998: Setuid coredump & Ruserok() flaw (patch included).
  • Feb 9, 1998: MIPS ld.so flaw (patch included).

• OpenBSD 2.1 セキュリティ警告

  以下は OpenBSD 2.1 用の警告です。これらの問題はすべて、 OpenBSD 2.2 では解決済みです。一部の問題は、 他のオペレーティングシステムにはまだ残っています (OpenBSD 2.1 を使用している 人は、最新リリースにアップグレードするよう強く推奨します。ここに挙げたものは、 いちばん重大なセキュリティ問題を直すものだけだからです。特に OpenBSD 2.2 は、多数の localhost セキュリティ問題を直しています。その多くは、パッチの提供が困難な方法で 修正されています)
  • Sep 15, 1997: Deviant Signals (patch included)
  • Aug 2, 1997: Rfork() system call flaw (patch included)
  • Jun 24, 1997: Procfs flaws (patch included)

• OpenBSD 2.0セキュリティ警告

  以下は OpenBSD 2.0 用の警告です。これらの問題はすべて、 OpenBSD 2.1 では解決済みです。一部の問題は、他のオペレーティングシステム にはまだ残っています (まだ OpenBSD 2.0 を使用している人は、ずいぶん昔からの ご愛顧に感謝感激！　しかし、新しいバージョンをインストールしないと、ずいぶん いろいろ見逃していることになりますよ！)
  • April 22, 1997: Predictable IDs in the resolver (patch included)
  • その他多数... 誰か見つけられたら、教えてください。 ここに挙げます。

• 私たちの変更の見方

  私たちはセキュリティについて積極的な立場をとりますから、絶えず新しい セキュリティ上の問題を見つけては直しています。そのような問題がすべて広く 報告されるわけではありません。前にも述べたように、その多くは悪用可能か どうかわからないからです。多くの単純なバグは、実は予想しなかった セキュリティ上の問題になっていたりします。そのような変更を、 上のような形式で公開するだけの時間的な余裕がないのです。

  従って、最新のメジャーな OpenBSD リリース以降、カレントのソースコードには マイナーなセキュリティ上の修正が含まれています。そのような問題は、影響が小さく、 悪用できることも示されていないという保証を限定つきで行います。 もし、間違いなくセキュリティ上の問題となる問題を見つけたら、パッチは 極めて素早くここに登場します。

  本当にセキュリティについて関心のある人は、 いくつか打つ手があるでしょう。

  • もし、セキュリティ問題を理解できる人なら、 source-changes メーリングリストに登録して、 セキュリティ関連と思われる内容に目を光らせておきましょう。 修正の多くは、悪用可能だと示されていないものが多いので、 関連する投稿がすべて「セキュリティの修正」と書いてあるとは 思わないでください。もし問題が示されて深刻なものなら、 すぐにここにパッチが出ます。
  • source-changes メーリングリストに加えて、 security-announce メーリングリストを読んでおくのも良いでしょう。 このメーリングリストでは、OpenBSD チームが脅威の可能性ありとみなした あらゆるセキュリティ関連事項と、その問題への対処に関する情報が流れます。
  • カレントのソースコードツリーを追いかけて、ときどき完全な システムビルドを自分で実行する方法を身につけましょう (/usr/src/Makefile をじっくり読んでください)。ユーザは、カレントのソースツリーは 最新リリースより必ずセキュリティが高いと思って間違いありません。 でも、ソースコードから自分でシステムをビルドするのは、生やさしい ことではありません。ソースコードは延べ 600MB ありますし、 メジャーリリースを移行する過程で、問題が生じることもあります。
  • 自分のアーキテクチャ用バイナリスナップショットをインストールします。 これは、かなり頻繁に公開されています。たとえば i386 用 スナップショットは、だいたい毎週更新されます。

• 問題を報告するには

  新しいセキュリティ上の問題を見つけたら、 deraadt@openbsd.org にメールしてください。
  PGP でエンコードしたい場合には (でもこれは面倒なので、プライバシが非常に重要な場合だけにしてください)、 この PGP キーを使用してください。

• その他読んでおきたい資料

  OpenBSD チームメンバは、OpenBSD のセキュリティ関連の変更について、 いろいろ論文を書いています。これら文書の postscript 版が以下で 入手できます。

  • A Future-Adaptable Password Scheme.
    Niels Provos、 David Mazieres による Usenix 1999。
    論文と スライドがあります。

  • Cryptography in OpenBSD: An Overview.
    Theo de Raadt、 Niklas Hallqvist、 Artur Grabowski、 Angelos D. Keromytis、 Niels Provos による Usenix 1999。
    論文と スライドがあります。

  • strlcpy and strlcat -- consistent, safe, string copy and concatenation.
    Todd C. Miller、 Theo de Raadt による Usenix 1999。
    論文と スライドがあります。

  • Dealing with Public Ethernet Jacks-Switches, Gateways, and Authentication.
    Bob Beck による LISA 1999。
    論文と スライドがあります。

  • Encrypting Virtual Memory
    Niels Provos による Usenix Security 2000。
    論文と スライドがあります。