2/02/2017

tcpdumpに複数の脆弱性

ISC SANSよりtcpdumpに複数の脆弱性が見付かり、Debianがセキュリティアップデートをしているとのこと。オリジナルにも影響がある筈なので、間も無く4.9.0がリリースされるだろう。(CVEの数は41あるのだが...)

このアップデートによって解決されるtcpdumpにある32の様々な脆弱性のためのDebianセキュリティアップデート[1]。詳細はまだないが、脆弱性のいくつかは明らかに任意のコードを実行するのに使える。

ライブで攻撃トラフィックを調べるためにtcpdumpを使う際に、特に心配である。もちろん、tcpdumpは(-Z userid)を使って起動後にroot権限を手放すことができるが、tcpdumpを実行しているユーザとしてコードをまだ実行できる。

4.9.0より前の全てのtcpdumpが脆弱である。(再度、詳細はまだない)。下記の脆弱性概要を簡単に見てみると、様々な "print" 機能が影響を受けるように見える。これらの機能は、tcpdumpの"-w"オプションを使ってファイルにパケットを書き込む際に、呼び出さないようにすべきだ。そして、パッチを当てるまでtcpdumpを実行しないのが最良の方法である:

tcpdump -Z nobody -w filename ...[other options]...

("nobody"はプラットフォームに最適の選択ではないかも知れない。特権の低いユーザを選んで実行してほしい)

(略)

[1] https://www.debian.org/security/2017/dsa-3775

追記(2017.2.3): tcpdump 4.9.0がリリースされた