[phpug-admin 1440] Re: cron で飛んでくるセキュリティチェック

M.Kawasato kawaml @ zato.nu
2007年 1月 6日 (土) 21:06:13 JST 

川里です。

作業しました。

・portファイルを最新へ更新
	cvsup /home/kawa/ports-supfile

・ベースとなる更新システムを更新
	portupgrade  -r portupgrade
	portupgrade  -r ruby
 ruby更新中に依存関係のbdb1-0.2.3.tar.gzが取得できなかったので
 エラーとなった。とりあえず、freebsdサイトに置いてあった更新
 パッケージをインストール

・php関連の更新
	portupgrade -r php5

・その他のアプリケーション更新
	portupgrade -r screen
	portupgrade -r python

MySQLに関して
 MySQLの更新は出来ませんでした。現在のバージョンは4.0.26で、
バージョンアップしても4.0.27です。今回セキュリティー勧告に掲載
されているバージョンはmysql-server <4.1.21 となっており、引っかかる
からです。で、解決案はメジャーバージョンアップといういう事になりますが、
DBだけに、何に使用されているか不明なので、私では判断できません。

どうすれば、良いのか誰か判断してください。

・単純に5.1.12にバージョンアップしても問題ない。
・5.1.12にバージョンアップするには、DBデータ自体の互換性の問題が
 あるので、何かしらの考慮が必要になる。
・下記には4.1.21未満となっているが、実は4.0.27にすれば問題は無い
http://www.FreeBSD.org/ports/portaudit/a0e92718-6603-11db-ab90-000e35fd8194.html


【注意】apacheは再起動してありますが、他は一切再起動していません。
 上記の更新されたパッケージを使用してデーモン化してあるような
 プログラムを使用している人はデーモンの再起動をお願いします。

現状は、mysqlのセキュリティーホール情報だけが出る状態です。

[root @ ume databases]# portaudit -aF
auditfile.tbz                                 100% of   40 kB   31 kBps
New database installed.
Affected package: mysql-server-4.0.26
Type of problem: mysql -- database "case-sensitive" privilege escalation.
Reference: <http://www.FreeBSD.org/ports/portaudit/a0e92718-6603-11db-ab90-000e35fd8194.html>

Affected package: mysql-server-4.0.26
Type of problem: MySQL -- Information Disclosure and Buffer Overflow Vulnerabilities.
Reference: <http://www.FreeBSD.org/ports/portaudit/4913886c-e875-11da-b9f4-00123ffe8333.html>

2 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.


以上です。


At[Fri, 05 Jan 2007 10:41:35 +0900]
YOSHIMURA Keitaro <ramsy @ ramix.jp> wrote.

> らむじぃです。
> 
> cronで飛んでくるセキュリティチェックで延々警告されてるのがいやなので
> portupgradeしてみました、が…下記の通り結果として減ってません。
> http://staff.php.gr.jp/wiki/?maintenance%2F2007-01-05
> FreeBSDはさっぱりダメなので下手に弄ってコワスのも怖いんで誰かやってくれ
> ませんかね。
> # ていうか、同じメール受け取ってる人は他にも居るはずなんだけどなぁ。
> # 私と違ってFreeBSD詳しい人も居るはずなのに。
> 
> -- 
> <|> YOSHIMURA Keitaro/ramsy
> <|> ramsy @ ramix.jp
> <|> http://ramix.jp/~ramsy/
> 
> _______________________________________________
> phpug-admin mailing list
> phpug-admin @ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/phpug-admin
> 


/*==========================
= Name   : Munehiro Kawasato
= E-mail : kawaml @ zato.nu
============================*/

phpug-admin メーリングリストの案内