ARMA
           ARMA Net           製品とサポート           通信販売           会社概要           求人情報       
ARMA 3.0

ARMA 3.0 マニュアル

プレインストール PC

個人・小規模サイト
向けサポート
(パッケージ付属)


よくいただくお問い
合わせについて


対応ハードウェア情報

法人向け各種サービス

 OSA-2003-7
 
 
 1 サマリ
 
 
 
 
対象システム
ARMA2.0,ARMA2.1
 
 
 
パッケージ
kernel-2.4.18/2.4.19/2.4.20
 
 
 
概要
情報の漏洩、ファイルシステムの破壊
 
 
 
危険度
1
 
 
 
 
 2 詳細
 
 バージョン 2.4.10〜2.4.20 の Linux カーネルに複数の脆弱性が発見されました。
 
 
(1)
メモリの内容がリモートへ漏洩、
 
 
(2)
悪意のあるローカルのユーザへの情報漏洩、またはファイルシステムの破壊
 
 
 の可能性があります。
 
 
(1)
いくつかの NIC ドライバが、送信するパケットの末尾のメモリ領域をヌル文字で上書きしていないため、リモートの悪意あるユーザが特殊なパケットを用いて、この部分に書き込まれていた内容 (直前のパケットやカーネルの一部) を取得できてしまう可能性があります。
 
 
(2)
O_DIRECT 周りの不備により、ファイルシステムへの書き込み権限を持つ悪意あるローカルのユーザが、既に削除されているファイルを読み込めてしまったり、ファイルシステムを破壊したりできる可能性があります。ただし、ARMA でサポートしているファイルシステムのうち、O_DIRECT を利用する可能性があるものは DMAPI を利用した XFS (通常利用では DMAPI は使いません) と 2.4.19 以前の JFS に限られます。(ext2/3, ReiserFS には影響ありません)
 
 
 詳細については以下をご参照ください。
 
 
「CAN-2003-0001」 NIC device drivers do not pad frames with null bytes, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0001
 
 
「CAN-2003-0018」 Does not properly handle the O_DIRECT feature http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0018
 
 
 なお、今回公開したカーネル 2.4.20-3 では新たに IPv6 スタック USAGI の stable release 4.1 を組み込みました。これにより ARMA のカーネル 2.4.20 も現安定版の 2.4.19 とほぼ同機能を備えることになったため、今リビジョンより 2.4.20 も安定版カーネルの扱いと致します。
 
 
 3 対処方法
 
 2.4.19 以前のカーネルをお使いの方は、以下のようにカーネル 2.4.19-11 をインストールしてください。
 
 
# apt-get update
# apt-get installl kernel-2.4.19
 
 
 カーネル 2.4.20 をお使いの方は、以下のようにカーネル 2.4.20-3 をインストールしてください。
 
 
# apt-get update
# apt-get installl kernel-2.4.20
 
 
 
 

COPYRIGHT (C)2018, オモイカネ株式会社 (Omoikane Inc.)
E-mail: info@omoikane.co.jp