FreeBSD 5.2-RELEASE Errata

FreeBSD プロジェクト

$FreeBSD: src/release/doc/ja_JP.eucJP/errata/article.sgml,v 1.30 2004/03/05 04:14:21 rushani Exp $

FreeBSD は Wind River Systems, Inc. の登録商標です。 これは近いうちに変わる見込みです。

Intel, Celeron, EtherExpress, i386, i486, Itanium, Pentium および Xeon はアメリカ合衆国およびその他の国における Intel Corporation またはその関連会社の商標または登録商標です。

Sparc, Sparc64, SPARCEngine および UltraSPARC はアメリカ合衆国およびその他の国における SPARC International, Inc. の商標です。SPARC の商標をつけた製品は Sun Microsystems, Inc. が開発したアーキテクチャに基づいています。

製造者および販売者が製品を区別するのに 用いている表示の多くは、商標とされています。 この文書に登場する表示のうち FreeBSD Project がその商標を確認しているものには、その表示に続いて ``™'' または ``®'' 記号がおかれています。


この文書は FreeBSD 5.2-RELEASE の公開後に判明した重要な情報、あるいはリリース工程の終盤で判明し、 リリース文書に収録できなかった重要な情報が書かれている errata リスト (正誤表) です。 これにはセキュリティ勧告および、 システムの運用・利用に影響を与えるような関連ソフトウェア、 関連文書の更新情報も含まれています。 このバージョンの FreeBSD をインストールする前には必ず、 最新の errata を参照するようにしてください。

これは FreeBSD 5.2-RELEASE 用の errata 文書です。FreeBSD 5.3-RELEASE の公開までの間、保守されます。

また、この文書には FreeBSD 5.2-RELEASE の約一カ月後に公開された ``ポイントリリース'' である FreeBSD 5.2.1-RELEASE の errata リストも記載されています。 特に注記がない限り、すべての項目は 5.2-RELEASE と 5.2.1-RELEASE の両方に該当します。

5-CURRENT ブランチは最新のブランチポイントであり、 ここからはまだリリース版が公開されていません。 そのため現時点の 5.2-CURRENT には、 errata がありません (最初のリリースは 5.3-RELEASE になる予定です)。 このファイルは新たに作成されたブランチ用のひな型として用意されているものです (当然ながら、この注意書きは他のブランチにある errata 文書には存在しません)。


1. はじめに

この errata 文書には FreeBSD 5.2-RELEASE に関する ``最新の障害情報'' が書かれています。 この文書を読み、 このバージョンのインストール前にリリース公開後に既に発見・修正された問題点について 知っておいてください。

リリースの公開 (たとえば CDROM による配布) には errata 文書が同梱されていることがあります。 しかし、それは当然ながらその時点のものであり、 最新のものと同じであるとは限りません。 インターネット上に置かれている このリリースに対応した ``errata 文書の最新版'' を参照するようにしてください。 errata 文書は http://www.FreeBSD.org/releases/ をはじめ、最新の状態を維持している各ミラーサイトに置かれています。

FreeBSD 5-CURRENT のソーススナップショット、 バイナリスナップショットにも、 (スナップショット作成時の) 最新版の errata 文書が含まれています。

FreeBSD CERT セキュリティ勧告の全リストは、 http://www.FreeBSD.org/security/ もしくは ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/ を参照してください。


2. セキュリティ勧告

(2004 年 1 月 30 日; 2004 年 2 月 28 日更新) mksnap_ffs(8) のバグが原因で、 ファイルシステムのスナップショットを作成すると、 対象ファイルシステムのフラグが初期値に戻ってしまいます。 これによる影響の大小はシステムの利用形態によりますが、 拡張アクセス制御リストを無効にしたり、信頼できないファイルシステムに 置かれている setuid 実行ファイルの実行が可能になるおそれがあります。 dump(8)-L オプションも、 mksnap_ffs(8) を利用するため、このバグによる影響を受けます。 ただし通常、 mksnap_ffs(8) を実行可能なのは スーパユーザと operator のメンバのみです。 このバグは FreeBSD 5.2-RELEASE セキュリティブランチで修正され、 FreeBSD 5.2.1-RELEASE に統合されました。 詳細はセキュリティ勧告 FreeBSD-SA-04:01 をご覧ください。

(2004 年 2 月 8日; 2004 年 2 月 28 日更新) System V 共有メモリインタフェース (のうち shmat(2) システムコール) にバグがあり、 未割当のカーネルメモリを参照する共有メモリセグメントをつくることが できてしまう可能性があります。 ローカルの攻撃者がこれを悪用すると、カーネルメモリの一部に不正に アクセスすることが可能になるため、結果としてセキュリティ上重要な 情報の漏洩、アクセス制御機構の迂回や 高い権限の不正な獲得などに利用されるおそれがあります。 このバグは FreeBSD 5.2-RELEASE セキュリティブランチで修正され、 FreeBSD 5.2.1-RELEASE に統合されました。 詳細はセキュリティ勧告 FreeBSD-SA-04:02 をご覧ください。

(2004 年 2 月 28 日) 特定の条件下では、 jail(8) 環境の内側で スーパユーザ権限を持つプロセスを悪用して 自身のルートディレクトリを異なる jail に変更することができます。 これにより、本来独立しているべき各 jail 間で、 ファイルやディレクトリの読み書きが可能になってしまうおそれがあります。 このぜい弱性は FreeBSD 5.2-RELEASE セキュリティブランチで修正され、 FreeBSD 5.2.1-RELEASE に統合されました。 詳細はセキュリティ勧告 FreeBSD-SA-04:03 をご覧ください。


3. 未解決の問題

(2004 年 1 月 9 日) cpp(1) の動作が変更されたことが原因で、 カラーディスプレイが接続されていても、 xdm(1) のログイン画面が白黒になってしまいます。 新しいバージョンの x11/XFree86-4-clients の port/package をインストールすることで、この問題は回避可能です。

(2004 年 1 月 9 日) ACPI に関する問題が残っています。システムによっては起動時に 動作がおかしくなったり、ハングアップしてしまうものがあります。 この問題は、起動ローダの ``セーフモード'' オプションか、 カーネル環境変数 hint.acpi.0.disabled を使って ACPI を無効にすることで回避することができます。 これらの問題は、現在調査中です。まだ報告されていない問題が ありましたら、 dmesg(8) acpidump(8) の結果を FreeBSD-CURRENT メーリングリスト に送ってください (送る前にメーリングリストのアーカイブを調べましょう)。 その報告が、問題の原因究明に役に立つかも知れません。

(2004 年 1 月 9 日; 2004 年 2 月 28 日更新) ATA デバイス、特に SATA デバイスの場合、正常に動作しない場合があります。 報告されている症状は、コマンドがタイムアウトする、 あるいは割り込みがかからないというものです。 これらの問題はタイミングに依存しているらしく、特定が困難な状況です。 回避策としては、次のようなものがあります。

上記の問題のいくつかは、 FreeBSD 5.2.1-RELEASE では 5.2-CURRENT から新しい ata(4) ドライバを統合して 解決されています。

(2004 年 1 月 9 日) インストールフロッピーを使って NFS 経由でインストールする場合、 3 枚目のフロッピーディスクから nfsclient.ko モジュールを手動でロードする必要があります。 sysinstall(8) が 3 枚目のフロッピーディスクにある ドライバを読み込む時に表示されるプロンプトの指示に従ってください。

(2004 年 1 月 9 日) pcm(4) ドライバで複数の vchans (ソフトウェアで動的にミキシングを 行なう仮想オーディオチャネル) を利用すると、 不安定になる場合があります。

(2004 年 1 月 10 日) APIC 割り込みルーティングは多くのシステムで正常に動作していますが、 (ラップトップの一部など) システムによっては、たとえば X11 の起動・終了時に ata(4) のエラーやハングアップが発生すると いった、さまざまなエラーが発生するようです。 こういった症状が現れる場合は、 起動ローダの``セーフモード''オプションや ローダ変数 hint.apic.0.disabled を使って、APIC ルーティングを無効にすると改善するかも知れません。 ただし、APIC を無効にすると SMP システムの利用はできなくなります。

(2004 年 1 月 10 日; 2004 年 2 月 28 日更新) NFSv4 クライアントが NFSv3 のみ、あるいは NFSv2 のみに対応した サーバに NFSv4 操作をおこなおうとした場合、 パニックが発生する場合があります。この問題は、 FreeBSD 5.2-CURRENT に含まれている src/sys/rpc/rpcclnt.c のリビジョン 1.4 で修正されました。 この修正は FreeBSD 5.2.1-RELEASE にも統合されています。

(2004 年 1 月 11 日; 2004 年 2 月 28 日更新) nss_ldap などのサードパーティ製 NSS モジュールを使い、大量のメンバリストを含むグループが存在する場合、 問題が発生することがあります。この問題は FreeBSD 5.2-CURRENT に含まれる src/include/nss.h のリビジョン 1.2, src/lib/libc/net/nss_compat.c のリビジョン 1.2 で 修正され、FreeBSD 5.2.1-RELEASE に統合されました。

(2004 年 1 月 13 日) FreeBSD 5.2-CURRENT のリリースノートには、含まれている GCC が post-release GCC 3.3.3 snapshot と記載されていました。これは、pre-release GCC 3.3.3 snapshot の誤りです。

(2004 年 1 月 13 日; 2004 年 2 月 28 日更新) sysutils/kdeadmin3 port/package には、 KUser を使うとシステムパスワードファイルに ある root ユーザが削除されてしまう可能性のある バグが含まれています。この port/package を使っている場合は、 ぜひバージョン 3.1.4_1 へアップグレードするようお願いします。 FreeBSD 5.2.1-RELEASE にはこのバグが修正された package が 収録されてます。

(2004 年 1 月 21 日; 2004 年 2 月 28 日更新) KAME プロジェクトから統合された IPSec 実装に、 まだ参照されているメモリオブジェクトを開放してしまう可能性のあるバグが 発見されました。今まで、セキュリティポリシデータベース (SPD; Security Policy Database) をフラッシュした後に異常な動作をしたり、 カーネルパニックが発生するという症状が報告されています。 問題の一部は FreeBSD 5.2-CURRENT に含まれる src/sys/netinet6/ipsec.c のリビジョン 1.31, src/sys/netinet/in_pcb.c のリビジョン 1.136, src/sys/netkey/key.c のリビジョン 1.64 で修正され、FreeBSD 5.2.1-RELEASE に統合されました。 この問題の詳細については、 FreeBSD-CURRENT メーリングリスト の投稿、特に ``[PATCH] IPSec fixes'' という題名のついたスレッドをご覧ください。

(2004 年 2 月 28 日) FreeBSD 5.2.1-RELEASE に収録されている FreeBSD port 作成者のためのハンドブックに、5.2.1-RELEASE の __FreeBSD_version の値に誤りがありました。 正しくは 502010 です。


4. 最新情報

(2004 年 1 月 10 日; 2004 年 2 月 28 日更新) FreeBSD の TCP 実装に TCP セグメントのサイズと速度を制限するという形で、 ある種の TCP MSS 資源枯渇攻撃に対する対策が追加されました。 ひとつ目は TCP セグメントサイズの最大と最小を制限するもので、 sysctl 変数 net.inet.tcp.minmss (デフォルトは 216) で制御することができます。 ふたつ目は、セグメントの平均サイズが net.inet.tcp.minmss より小さい接続の 最大通信速度を制限するもので、 net.inet.tcp.minmssoverload 変数で制御することができます。 設定されたパケット速度を超える接続は、reset されて切断されます。 この機能は 5.2-RELEASE リリースサイクルの終りごろに追加されたため、 デフォルトでは、この接続速度の制限は無効になっていますが、 net.inet.tcp.minmssoverload に 0 でない 値を設定することで、手動で有効にすることができます。 この機能は FreeBSD 5.2-RELEASE のリリース工程の終盤で追加されたため、 リリースノートに記載されていませんでした。


このファイルの他、リリース関連の文書は http://snapshots.jp.FreeBSD.org/ からダウンロードできます。

FreeBSD に関するお問い合わせは、<questions@FreeBSD.org> へ質問を投稿する前に解説文書をお読みください。

FreeBSD 5-CURRENT をお使いの方は、ぜひ <current@FreeBSD.org> メーリングリストに参加ください。

この文書の原文に関するお問い合わせは <doc@FreeBSD.org> まで、
日本語訳に関するお問い合わせは、<doc-jp@jp.FreeBSD.org> まで電子メールでお願いします。