[OpenBSD]

セキュリティ


Index

プロジェクトのセキュリティ上の目標
完全ディスクロージャー方針
ソースコード監査プロセス
「デフォルトでも高セキュリティ」
暗号の使用

変更の見方.
セキュリティ問題の報告.
その他資料

2.7 用セキュリティ警告
2.6 用セキュリティ警告
2.5 用セキュリティ警告
2.4 用セキュリティ警告
2.3 用セキュリティ警告
2.2 用セキュリティ警告
2.1 用セキュリティ警告
2.0 用セキュリティ警告


・目標

OpenBSD は、強いセキュリティを重視しています。われわれの目標は、セキュリティについては業界ナンバーワンになることです(もうすでにナンバーワンという説はありますが)。オープンなソフト開発モデルのおかげで、われわれはSun, SGI, IBM, HPなどのベンダーにできるよりも、セキュリティ強化について妥協のない立場をとることができます。さらに、ベンダーたちならやらないような変更だって加えます。さらに OpenBSD は 各種の暗号つきで出荷されているので、セキュリティ問題への対応にも暗号を使った手段が講じられるわけです。

・完全なディスクロージャー

BUGTRAQ メーリングリスト読者のみなさんと同じように、われわれはセキュリティ問題は完全に公開すべきだと信じています。オペレーティングシステムの分野では、この考え方をとりいれたのは、われわれがたぶん最初です。多くのベンダーは、フリーソフトのベンダーでさえ、いまだに問題があってもそれをユーザから隠そうとします。

セキュリティ情報は、クラッカーの世界ではものすごい勢いで広まります。一方、われわれの経験によれば、きちんとしたセキュリティのフィックスをコーディングしてリリースするには、平均で 30 分ほどの作業ですみます――つまり、フィックスの出荷までは、きわめて短時間でできます。だから、完全なディスクロージャーは、セキュリティについて本当に気にかける人の役にたつとわれわれは考えるわけです。

・監査プロセス

われわれのセキュリティ監査チームは、だいたい 6人から12 人程度のメンバーで構成されて、たえず新しいセキュリティホールを見つけてはふさいでいます。われわれは 1996 年夏以来、この監査を続けてきました。セキュリティを高めるためにわれわれがしたがうプロセスは、単純に重要なソフトウェアコンポーネントについてすべて、ファイルを一つずつ総合的に分析していくことです。われわれが探しているのは、セキュリティホールというよりはむしろ、基本的なソフトのバグです。そしてもし何年もたってからだれかが、この問題はセキュリティ上の問題でもあったなぁ、と発見することがあったとしても、われわれがそれをただのバグだと思ってなおしていたのなら、それはそれで結構なことでしょう。システムのほとんどあらゆる部分に欠陥が見つかっています。この監査の過程で、新しいレベルのセキュリティ問題群が見つかったこともあるし、昔監査を行ったソースコードであっても、新発見の欠陥を念頭に、監査しなおさなくてはならないことも多いのです。コードは何度も監査され、監査する人も複数で、監査技能もちがっています。

セキュリティ監査チームのメンバーの中には、Secure Networks 社で働いていた者もいます。この会社は、業界の先駆的なネットワークセキュリティスキャン用ソフトパッケージ Ballista をつくったところです。(Secure Networks 社はその後 Network Associates 社に買収されて、Ballista は Cybercop Scanner と改名されて、まあうんぬんかんぬん...)Secure Networks 社はセキュリティ関連の研究をいろいろやっていたので、 OpenBSD のスタンスともぴったりあったわけです。OpenBSD は Ballista のテストをしょっぱなから楽々突破したものでした。

われわれのセキュリティ監査プロセスの別の面は、その積極性です。多くの場合、あるセキュリティホールが悪用可能かどうかを判断する必要はない、ということにわれわれは気がつきました。監査プロセスを続ける中で、われわれはいろんなバグを見つけます。そして、それを悪用できることが証明されていなくても、それをなおそうとします。バグをなおして、ほかになおすバグをさがしにいくわけです。簡単ですぐにわかるような、そそっかしいプログラミング上のエラーをコードの中にたくさん見つけますが、数ヶ月して、その問題が実は悪用可能だったということが発見されるわけです。(あるいはもっとよくあるパターンは、BUGTRAQ のだれかが、ほかのオペレーティングシステムが「新発見の問題」による危険にさらされている、という報告をして、でも OpenBSD ではそれが前のリリースで修正ずみだったというのがわかる、というものです)。ほかの場合だと、中間段階のどれかをなおしてあったがために、複雑な多段階攻撃で完全な攻撃にさらされずにすんだ、ということもあります。われわれがこういう成功をおさめた一例としては、Secure Networks が出した、lpd についての問題があります。

・その見返り

この積極的な監査プロセスは、十分にその報いがあるものでした。BUGTRAQのようなセキュリティ関連フォーラムでは「この問題は OpenBSD では半年前に解決済みです」というような発言は日常茶飯になっています。

セキュリティ監査がいちばん重点的に行われたのは、 OpenBSD 2.0 リリース直前と、2.0->2.1 への移行期でした。これは1996 年最後の四ヶ月ほどと、1997 年前半です。何千もの(はい、何千、です)セキュリティ問題が、この一年ほどの期間にわたり急速に修正されました。ふつうのバッファオーバーフローなどのバグ、プロトコル実装の弱点、情報収集、ファイルシステム競争などです。したがって出くわしたセキュリティ上の問題は、ほとんどが 2.1 リリース以前に修正され、それ以降、 2.2 リリースでなおす必要のある問題はぐっと減りました。もう昔ほど問題はたくさん見つかりません。よくある収益逓減の見本です。最近では、われわれが見つけてなおすセキュリティ上の問題は、以前よりものすごくマイナーでややこしいものになっています。それでも、われわれは監査にこだわり続けます。理由はいくつかあります:

監査プロセスはまだ終わっていません。ごらんのとおり、われわれは新しいセキュリティ上の欠陥を見つけてはなおし続けていきます。

「デフォルトで高セキュリティ」

OpenBSD の初心者ユーザが、一夜にしてセキュリティ専門家にならないですむように(ほかのベンダーはこれを期待しているようですが)、われわれはオペレーティングシステムを出荷するとき、デフォルトで高セキュリティモードにしておきます。あらゆる本質的でないサービスは停止させてあります。利用者・管理者がシステムに習熟してくれば、システムのデーモンやその他の部分を有効にしなくてはならないことがわかるでしょう。新しいサービスを有効にする方法を学ぶプロセスで、初心者も、セキュリティ上の問題点を学ぶ見込みが高いのです。

これは、ますます多くのシステムがNFSや mountd web サーバなど各種のサービスをデフォルトで有効にしてあるのとは、まったく対照的です。こうしたシステムは、ユーザが初めてインストールして数分のうちに、すぐさまセキュリティ上の問題をつくりだしてしまうのです。

暗号の使用

そしてもちろん、OpenBSD プロジェクトはカナダベースですから、暗号をシステムに統合することができます。詳しくは、われわれが暗号で何をしたかを説明したページを見てください。

警告

OpenBSD 2.7 セキュリティ警告

以下は OpenBSD 2.7 用の警告です――これらの問題はすべて、カレント版のOpenBSDでは解決済みです。当然ながら、OpenBSD 2.6 以下の警告はすべて、 OpenBSD 2.7では修正済みです。

OpenBSD 2.6 セキュリティ警告

以下は OpenBSD 2.6 用の警告です――これらの問題はすべて、カレント版のOpenBSDでは解決済みです。当然ながら、OpenBSD 2.5 以下の警告はすべて、 OpenBSD 2.6では修正済みです。

OpenBSD 2.5 セキュリティ警告

以下は OpenBSD 2.5 用の警告です――これらの問題はすべて、カレント版のOpenBSDでは解決済みです。当然ながら、OpenBSD 2.4 以下の警告はすべて、 OpenBSD 2.5では修正済みです。

OpenBSD 2.4 セキュリティ警告

以下は OpenBSD 2.4 用の警告です――これらの問題はすべて、カレント版のOpenBSDでは解決済みです。当然ながら、OpenBSD 2.3 以下の警告はすべて、 OpenBSD 2.4では修正済みです。

OpenBSD 2.3 セキュリティ警告

以下は OpenBSD 2.3 用の警告です――これらの問題はすべて、カレント版のOpenBSDでは解決済みです。当然ながら、OpenBSD 2.2 以下の警告はすべて、 OpenBSD 2.3では修正済みです。

OpenBSD 2.2 セキュリティ警告

以下は OpenBSD 2.2 用の警告です。これらの問題はすべて、OpenBSD 2.3では解決済みです。一部の問題は、他のオペレーティングシステムにはまだ残っています (ここに挙げたパッチは OpenBSD 2.2 用のものです。OpenBSD 2.1では使えない場合があります)

OpenBSD 2.1 セキュリティ警告

以下は OpenBSD 2.1 用の警告です。これらの問題はすべて、OpenBSD 2.2では解決済みです。一部の問題は、他のオペレーティングシステムにはまだ残っています (OpenBSD 2.1 を使っている人は、最新リリースにアップグレードするよう強く推奨します。ここに挙げたものは、いちばん重大なセキュリティ問題をなおすものだけだからです。特に OpenBSD 2.2 は、多数の localhost セキュリティ問題をなおしています。その多くは、パッチの提供が困難なやりかたで修正されています)

OpenBSD 2.0セキュリティ警告

以下は OpenBSD 2.0 用の警告です。これらの問題はすべて、OpenBSD 2.1では解決済みです。一部の問題は、他のオペレーティングシステムにはまだ残っています (まだ OpenBSD 2.0 をお使いの方、ずいぶん昔からのご愛顧に感謝感激! でも新しいバージョンをインストールしないと、ずいぶんいろいろ見逃していることになりますよ!)

われわれの変更の見方

われわれはセキュリティについて積極的な立場をとりますから、たえず新しいセキュリティ上の問題を見つけては直しています。そういう問題がすべて広く報告されるわけではありません。前にも述べたように、その多くは悪用可能かどうかわからないからです。多くの単純なバグは、実は予想しなかったセキュリティ上の問題になっていたりします。そういう変更を、上のような形式で公開するだけの時間的な余裕がないのです。

したがって、最新のメジャーなOpenBSD リリース以降、カレントのソースコードにはマイナーなセキュリティ上のフィックスが含まれています。そういう問題は、影響が小さく、悪用できることも示されていないという保証を限定つきで行います。もしまちがいなくセキュリティ上の問題となる問題を見つけたら、パッチはきわめてすばやくここに登場します。

本当にセキュリティについて関心のある人は、いくつか打つ手があるでしょう:

問題を報告するには

新しいセキュリティ上の問題を見つけたら、以下にメールしてください: deraadt@openbsd.org.
PGP でエンコードしたい場合には(でもこれは、プライバシーがすごく重要な場合だけにしてくださいね、めんどうですから)、このpgp キーを使ってください。

その他読んでおきたい資料

OpenBSD チームメンバーは、OpenBSD のセキュリティ関連の変更について、いろいろ論文を書いています。これら文書の postscript 版が以下で手に入ります。


OpenBSD Valid XHTML 1.0! www@openbsd.org 翻訳上の問題はhiyori13@alum.mit.edu

$OpenBSD: security.html,v 1.143 2000/08/24 21:25:16 provos Exp $