Topic: Buffer overflow in handling of UNIX socket addresses Category: core Module: kern Announced: 2011-09-28 Credits: Mateusz Guzik Affects: All supported versions of FreeBSD. Corrected: 2011-10-04 19:07:38 UTC (RELENG_7, 7.4-STABLE) 2011-10-04 19:07:38 UTC (RELENG_7_4, 7.4-RELEASE-p4) 2011-10-04 19:07:38 UTC (RELENG_7_3, 7.3-RELEASE-p8) 2011-10-04 19:07:38 UTC (RELENG_8, 8.2-STABLE) 2011-10-04 19:07:38 UTC (RELENG_8_2, 8.2-RELEASE-p4) 2011-10-04 19:07:38 UTC (RELENG_8_1, 8.1-RELEASE-p6) 2011-10-04 19:07:38 UTC (RELENG_9, 9.0-RC1)
A local user can cause the FreeBSD kernel to panic. It may also be possible to execute code with elevated privileges ("gain root"), escape from a jail, or to bypass security mechanisms in other ways.
orz....
で、さくらのレンタルサーバを契約しているのですが、対応はどうだったか、調べてっました。
FreeBSD www1XXX.sakura.ne.jp 7.1-RELEASE-p16 FreeBSD 7.1-RELEASE-p16 #12: Mon Oct 3 17:12:59 JST 2011 admin@www200.sakura.ne.jp:/usr/obj/usr/src/sys/SAKURA11S i386
え?
FreeBSD 7.1-RELEASE-p16 2011/10/3 17:12
$ ls -al /boot/kernel/kernel -r-xr-xr-x 1 root wheel 4104333 Oct 3 17:13 /boot/kernel/kernel
神対応過ぎる。
そして、2011年2月28日にEOLを迎えているFreeBSD 7.1に直接カーネルパッチを当てている様子。。
さらに調べてみると、
[緊急]さくらのレンタルサーバ/マネージドサーバ 2011年10月3日掲載というのがあり、作業日程 : 2011年10月04日01時00分〜2011年10月04日06時00分となっている。
マジ、すげー。MLに情報が流れて、パッチアナウンス出る前に対応してるよ。。
FreeBSD Security Advisoriesには出ていたみたいだけど。
気になるのは、次の一行。
v1.0 2011-09-28 Initial release. v1.1 2011-10-04 Updated patch to add linux emulation bug fix.
v1.0のときに対応していると思うので、linux emulation時にはまだバグがあるおそれがあるのかしら。