FreeBSD セキュリティ情報
はじめに
このページには、FreeBSD のセキュリティに関して、 初心者、ベテランを問わず手助けになるような情報が書かれています。 FreeBSD では、セキュリティを非常に重要なものと捉えており、 オペレーティングシステムをできる限りセキュアなものにしようと常に努力しています。
目次
- FreeBSD セキュリティ問題の報告方法と連絡先について
- FreeBSD セキュリティオフィサについて
- 情報の取り扱いに関する方針
- サポートされている FreeBSD のリリース
- サポートが終了した FreeBSD リリース
セキュリティに関連した他のリンク
FreeBSD セキュリティ問題の報告方法と連絡先について
FreeBSD に関わるすべてのセキュリティ問題は、 FreeBSD セキュリティチーム に (英語で) 報告してください。高い機密性が要求される場合には、 セキュリティオフィサの PGP 鍵 を使って暗号化し、 セキュリティオフィサチーム へ (英語で) 報告してください。 報告には少なくとも以下を含める必要があります。
- 脆弱性の詳細
- 可能であれば影響範囲 (FreeBSD のどのバージョンに影響するか)
- 何らかの回避方法
- 可能であればコードの例
問題の報告後、 セキュリティオフィサまたはセキュリティチーム代表からの返信があります。
スパムフィルタ
セキュリティに関する連絡先のメインのメールアドレスには、 大量のスパムメールが送られてくるので、スパムフィルタが導入されています。 もし、FreeBSD セキュリティオフィサやセキュリティチームと連絡がつかない場合には、 スパムフィルタが原因と考えられます。 通常のアドレスの代わりに、 security-officer-XXXX@FreeBSD.org の XXXX を 3432 に置き換えたアドレスにメールを送ってください。 このアドレスは、定期的に変わる可能性があるので、 このページで最新のアドレスを確認してください。 このアドレスへのメールは、FreeBSD セキュリティオフィサチームに届きます。
FreeBSD セキュリティオフィサチームと FreeBSD セキュリティチーム
FreeBSD プロジェクトでは、脆弱性の報告に対して臨機応変に対応する目的で セキュリティオフィサのメールエイリアスに 3 人 (セキュリティオフィサ、セキュリティオフィサ補佐、 コアチームメンバ 1 人) が登録されています。つまり、 <security-officer@FreeBSD.org> へ送られたメールは、現在以下のメールアドレスへ届くようになっています。
| Simon L. B. Nielsen <simon@FreeBSD.org> | セキュリティオフィサ |
| Colin Percival <cperciva@FreeBSD.org> | 名誉セキュリティオフィサ |
| Robert Watson <rwatson@FreeBSD.org> | リリースエンジニアリング渉外、 TrustedBSD プロジェクト渉外、システムセキュリティアーキテクチャの専門家 |
また、セキュリティオフィサが選出したコミッターグループである FreeBSD セキュリティチーム <secteam@FreeBSD.org> が、 セキュリティオフィサをサポートしています。
情報の取り扱いに関する方針
セキュリティオフィサは一般的な方針として、 脆弱性の発見から、その危険性の解析と修正、修正のテスト、 関係する他の組織との調整などに必要と思われる時間が経過した後に、 その問題に関するすべての情報を公開することを原則とします。
セキュリティオフィサは、 FreeBSD プロジェクトの資源を脅かすような緊急性の高い脆弱性を FreeBSD クラスタ管理者の一人ないし複数の人たちにかならず通知します。
セキュリティオフィサは、 問題を完全に理解したり修正するために専門的知識や意見が必要とされる場合、 報告されたセキュリティ上の脆弱性について議論を行なうためにセキュリティオフィサ以外の FreeBSD の開発者や外部の開発者に協力を求めることがあります。 報告された脆弱性に関する情報には不必要な流出を最小限に抑える努力を行い、また、 議論に参加する専門家はセキュリティオフィサの方針に従います。 過去、議論に参加した専門家たちは、FFS、VM システム、ネットワークスタックなど、 オペレーティングシステムの非常に複雑なコンポーネントについて 豊富な経験を持っていることを理由に選ばれています。
FreeBSD のリリース作業が進行中の場合、 セキュリティオフィサは適切なリリースサイクルや、 予定されているリリースに深刻なセキュリティ上のバグが含まれているかどうかといった情報を判断材料として提供する目的で、 リリースエンジニアに脆弱性の存在やその影響の大きさを知らせることがあります。 ただしそれが必要だと判断された場合には、 脆弱性の存在やその影響に関する情報の不必要な漏洩を防ぐために、 リリースエンジニアに脆弱性の情報を提供しない場合もあります。
FreeBSD セキュリティオフィサは、FreeBSD とコードを共有しているサードパーティベンダ (OpenBSD, NetBSD および DragonFlyBSD プロジェクト、Apple, FreeBSD に由来するソフトウェアのベンダ、 Linux ベンダのセキュリティリスト) はもちろんのこと、 他の団体や CERT (訳注: 日本では JPCERT/CC) のような、脆弱性やセキュリティに関する出来事を追跡する組織と 緊密に協調して作業を行っています。 脆弱性は FreeBSD 以外の実装にも影響することがあり、(頻繁ではありませんが) 世界中のネットワークコミュニティに影響する可能性もあります。そのような際、 セキュリティオフィサは脆弱性に関する情報を他の団体へ公開することがあります。 もしそれが不都合な場合は、脆弱性の報告にその旨を明記してください。
あなたが情報を提供する際に、提供する情報に何か特別な扱いが必要ならば、 それを明記するのを忘れないようにお願いします。
脆弱性の報告を行なう際に、 報告者が他のベンダとの間で公開の日程を調整したいと考えている場合は、 脆弱性の報告にその旨を明記してください。明確な指定がない場合、 FreeBSD セキュリティオフィサは、解決策の検証が十分に行なわれ次第、 可能な限り迅速に情報を公開できるような時期を選びます。 ただし、もし脆弱性が (bugtraq のような) 公的なフォーラムで活発に議論されているとか、 すでに積極的に悪用されているといった状態ならば、 セキュリティオフィサはユーザコミュニティの安全を最大限に確保するため、 報告者の指定した公開スケジュールを無視する可能性があることに注意してください。
情報を提供する際は、PGP を使って暗号化しても構いません。 また、その旨を明記すれば、それに対する返信も PGP を用いて暗号化されます。
サポートされている FreeBSD のリリース
FreeBSD セキュリティオフィサは、以下の FreeBSD 開発ブランチに対してセキュリティ勧告を提供しています。 これには -STABLE ブランチ と セキュリティブランチ が含まれます (-CURRENT ブランチ に対する勧告は提供されません)。
-STABLE ブランチには RELENG_7 のような CVS タグ名が付けられています。 これに対応する構築物は FreeBSD 7.0-STABLE のような名前になります。
FreeBSD の各リリースには、 対応するセキュリティブランチがひとつ用意されています。 セキュリティブランチには RELENG_7_0 のような CVS タグ名が付けられています。 これに対応する構築物は FreeBSD 7.0-RELEASE-p1 のような名前になります。
Ports Collection に関連した問題は、 FreeBSD VuXML により提供されます。
各ブランチに対するセキュリティオフィサのサポートには期限があります。 サポート期間には 3 種類あり、各ブランチに対して Early adopter', `Normal', そして `Extended' のどれかが割り当てられます。この割り当ては、 ブランチの保守終了日を決定する際のガイドラインとして利用されます。
- Early adopter
- -CURRENT ブランチからのリリースが対象です。 セキュリティオフィサによって、リリース後最低 6 ヵ月間サポートされます。
- Normal
- -STABLE ブランチからのリリースが対象です。 セキュリティオフィサによって、リリース後最低 12 ヵ月間サポートされます。 Normal リリースの保守終了日の少なくも 3 ヵ月前までに、 新しいリリースが公開されていることを保証するため、 (必要と判断された場合には) 十分な期間、延長される可能性があります。
- Extended
- 選ばれたリリース (通常は 2 つのリリースごと、 および各 -STABLE ブランチの最終リリース) が対象です。 セキュリティオフィサによって、リリース後最低 24 ヵ月間サポートされます。 Extended リリースの保守終了日の少なくも 3 ヵ月前までに、 新しい Extended リリースが公開されていることを保証するため、 (必要と判断された場合には) 十分な期間、延長される可能性があります。
現在サポートされているブランチの分類および保守終了予定日は、次のとおりです。 保守終了予定日 の列には、 そのブランチに対応する最も早い保守終了予定日が記入されています。ただし、 これらの予定日は延長される可能性があること、また、そうするにふさわしい理由があれば、 ブランチの保守が記載されている日付よりも早く終了する可能性もあるということにご注意ください。
| ブランチ | リリース | 分類 | リリース日 | 保守終了予定日 |
|---|---|---|---|---|
| RELENG_7 | なし | なし | なし | 2013 年 2 月 28 日 |
| RELENG_7_4 | 7.4-RELEASE | Extended | 2011 年 2 月 24 日 | 2013 年 2 月 28 日 |
| RELENG_8 | なし | なし | なし | 最終リリース後 2 年 |
| RELENG_8_3 | 8.3-RELEASE | Extended | 2012 年 4 月 18 日 | 2014 年 4 月 30 日 |
| RELENG_9 | なし | なし | なし | 最終リリース後 2 年 |
| RELENG_9_0 | 9.0-RELEASE | Normal | 2012 年 1 月 10 日 | 2013 年 3 月 31 日 |
| RELENG_9_1 | 9.1-RELEASE | Extended | 2012 年 12 月 30 日 | 2014 年 12 月 31 日 |
これ以前の古いリリースについては、 積極的にメンテナンスされることはありませんので、 上記のサポートされているリリースのいずれかへのアップグレードを強く推奨します。
セキュリティ勧告は、以下の FreeBSD メーリングリストを通じて公表されます。
- FreeBSD-security-notifications@FreeBSD.org
- FreeBSD-security@FreeBSD.org
- FreeBSD-announce@FreeBSD.org (訳注: この内容は announce-jp@jp.FreeBSD.org にも配送されます)
公開された勧告は、 FreeBSD セキュリティ勧告 ページをご覧ください。
勧告は、常に FreeBSD セキュリティオフィサの PGP 鍵 で署名され、 http://security.FreeBSD.org/ ウェブサーバの 勧告 および パッチ サブディレクトリにある関連パッチとともにアーカイブされます。
サポートが終了した FreeBSD リリース
以下のリリースは、今後サポートされませんが、参考のために一覧にまとめています。
| ブランチ | リリース | 分類 | リリース日 | 保守終了日 |
|---|---|---|---|---|
| RELENG_4 | なし | なし | なし | 2007 年 1 月 31 日 |
| RELENG_4_11 | 4.11-RELEASE | Extended | 2005 年 1 月 25 日 | 2007 年 1 月 31 日 |
| RELENG_5 | なし | なし | なし | 2008 年 5 月 31 日 |
| RELENG_5_3 | 5.3-RELEASE | Extended | 2004 年 11 月 6 日 | 2006 年 10 月 31 日 |
| RELENG_5_4 | 5.4-RELEASE | Normal | 2005 年 5 月 9 日 | 2006 年 10 月 31 日 |
| RELENG_5_5 | 5.5-RELEASE | Extended | 2006 年 5 月 25 日 | 2008 年 5 月 31 日 |
| RELENG_6 | なし | なし | なし | 2010 年 11 月 30 日 |
| RELENG_6_0 | 6.0-RELEASE | Normal | 2005 年 11 月 4 日 | 2007 年 1 月 31 日 |
| RELENG_6_1 | 6.1-RELEASE | Extended | 2006 年 5 月 9 日 | 2008 年 5 月 31 日 |
| RELENG_6_2 | 6.2-RELEASE | Normal | 2007 年 1 月 15 日 | 2008 年 5 月 31 日 |
| RELENG_6_3 | 6.3-RELEASE | Extended | 2008 年 1 月 18 日 | 2010 年 1 月 31 日 |
| RELENG_6_4 | 6.4-RELEASE | Extended | 2008 年 11 月 28 日 | 2010 年 11 月 30 日 |
| RELENG_7_0 | 7.0-RELEASE | Normal | 2008 年 2 月 27 日 | 2009 年 4 月 30 日 |
| RELENG_7_1 | 7.1-RELEASE | Extended | 2009 年 1 月 4 日 | 2011 年 2 月 28 日 |
| RELENG_7_2 | 7.2-RELEASE | Normal | 2009 年 5 月 4 日 | 2010 年 6 月 30 日 |
| RELENG_7_3 | 7.3-RELEASE | Extended | 2010 年 3 月 23 日 | 2012 年 3 月 31 日 |
| RELENG_8_0 | 8.0-RELEASE | Normal | 2009 年 11 月 25 日 | 2010 年 11 月 30 日 |
| RELENG_8_1 | 8.1-RELEASE | Extended | 2010 年 7 月 23 日 | 2012 年 7 月 31 日 |
| RELENG_8_2 | 8.2-RELEASE | Normal | 2011 年 2 月 24 日 | 2012 年 7 月 31 日 |