FreeBSD セキュリティ情報
はじめに
FreeBSD では、セキュリティを非常に重要なものと捉えており、 開発者はオペレーティングシステムをできる限り安全なものにしようと常に努力しています。 このページには、システムにセキュリティの脆弱性が発見された場合の対応の方法について書かれています。
目次
- セキュリティ脆弱性の報告に関して
- 最近の FreeBSD セキュリティ勧告
- FreeBSD セキュリティ勧告を理解する
- システムをアップデートする方法
- サポートされている FreeBSD のリリース
- FreeBSD サポートモデル
セキュリティ脆弱性の報告に関して
FreeBSD のベースシステムに関わるセキュリティの問題は、電子メールで FreeBSD セキュリティチーム に (英語で) 報告してください。高い機密性が要求される場合には、 セキュリティオフィサの PGP 鍵 を使って暗号化したメールで セキュリティオフィサチーム へ (英語で) 報告してください。 詳細については、セキュリティ脆弱性の報告 ページをご覧ください。
どのような場合にセキュリティ勧告と判断されるか?
報告されたすべての問題に対しては、 (明かにセキュリティの問題ではない報告を除き) 内部のトラッキング番号が付与されます。 我々はセキュリティ勧告として扱うかどうかの判断に、 以下の分類を用います。
- 権限昇格の恐れのある脆弱性
- コードインジェクションの脆弱性
- メモリ漏洩もしくはデータ漏洩の脆弱性
- カーネルからの漏洩
- 特権プロセスからの漏洩
- ユーザプロセスからの漏洩
- DoS の恐れのある脆弱性
- リモートからの攻撃に利用できる場合のみ対応します。 ここでリモートとは、 異なるブロードキャストドメインからの攻撃を意味します。 そのため、ARP や NDP ベースの攻撃はここに分類されません。
- 単独でジェイルブレイクを可能にする脆弱性
- PRNG に関わるバグのような、 安全ではない暗号鍵を生成するようなバグ
これらのカテゴリに該当する報告は、 セキュリティ勧告と判断される可能性が高いです。 この一覧にない報告は、個別に検討され、 セキュリティ勧告もしくは Errata Notice かどうかを判断されます。
報告された問題がセキュリティ勧告として扱われると判断されると、 報告者がすでに CVE 番号を請求していた場合にはその番号が、 もしくは FreeBSD のプールから利用可能な CVE 番号が用いられます。
最近の FreeBSD セキュリティ勧告
セキュリティ勧告の完全な一覧は このページ にあります。
FreeBSD セキュリティ勧告を理解する
セキュリティ勧告は、以下の FreeBSD メーリングリストを通じて公表されます。
- FreeBSD-security-notifications@FreeBSD.org
- FreeBSD-security@FreeBSD.org
- FreeBSD-announce@FreeBSD.org (訳注: この内容は announce-jp@jp.FreeBSD.org にも配送されます)
公開された勧告は、FreeBSD セキュリティ勧告 ページをご覧ください。
勧告は、常に FreeBSD セキュリティオフィサの PGP 鍵 で署名され、http://security.FreeBSD.org/ ウェブサーバの advisories および patches サブディレクトリにある関連パッチとともにアーカイブされます。
FreeBSD セキュリティオフィサは、 -STABLE ブランチ と セキュリティブランチ に対してセキュリティ勧告を提供しています (-CURRENT ブランチ に対する勧告は提供されません)。
-STABLE ブランチには stable/10 のようなタグ名が付けられています。 これに対応する構築物は FreeBSD 10.1-STABLE のような名前になります。
FreeBSD の各リリースには、 対応するセキュリティブランチがひとつ用意されています。 セキュリティブランチには releng/10.1 のようなタグ名が付けられています。 これに対応する構築物は FreeBSD 10.1-RELEASE-p4 のような名前になります。
Ports Collection に関連した問題は、FreeBSD VuXML により提供されます。
システムのアップデートの方法
バイナリ版の FreeBSD (たとえば 12.0 や 11.2) をインストールしたユーザは、 以下のコマンドでアップデートできます。
# freebsd-update fetch# freebsd-update install
このコマンドが失敗するようであれば、 セキュリティ勧告に書かれている他の手順に従ってください。
ここで説明した手順は、 バイナリの配布物をインストールしたユーザのみ利用できます。 ソースから構築したユーザは、システムをアップグレードするには、 ソースツリーをアップデートする必要があります。
サポートされている FreeBSD のリリース
各リリースに対するセキュリティオフィサのサポートには期限があります。
現在サポートされているブランチおよび各リリースの分類および保守終了予定日 (Expected EoL) は、次のとおりです。 保守終了予定日 の列には、 そのブランチもしくはリリースの最も早い保守終了予定日が記入されています。 ただし、そうするにふさわしい理由があれば、 これらの予定日は延長される可能性があるということにご注意ください。
これ以前の古いリリース はサポートされませんので、 サポートされているいずれかのリリースへのアップグレードを強く推奨します。
ブランチ | リリース | リリース日 | 保守終了予定日 |
---|---|---|---|
stable/12 | n/a | n/a | 2024 年 6 月 30 日 |
releng/12.2 | 12.2-RELEASE | 2020 年 10 月 27 日 | 12.3-RELEASE 公開から 3 ヵ月後 |
releng/12.1 | 12.1-RELEASE | 2019 年 11 月 4 日 | 2021 年 1 月 31 日 |
stable/11 | なし | なし | 2021 年 9 月 30 日 |
releng/11.4 | 11.4-RELEASE | 2020 年 6 月 16 日 | 2021 年 9 月 30 日 |
リリースが作成される間に、 いくつかの -BETA または、-RC リリースが公開されます。 これらのリリースは、リソースが許す限り、数週間サポートされますが、 このページでは、 これらのシステムをサポートされているシステムとして掲載はしません。 これらのリリースを業務環境で使用すべきではありません。
FreeBSD サポートモデル
現在のサポートモデルでは、各メジャーバージョンの stable ブランチは、 明示的に 5 年間サポートされますが、各ポイントリリースのサポート期間は、 次のポイントリリースの公開後 3 ヵ月までとなります。
サポートモデルの詳細や根拠については、2015 年 2 月の 公式アナウンス をご覧ください。