[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0441] Re: Security Update 2003-06-09 available

石川です。

# FreeMLのログから直接返信してます。

> 玉岡です。

> 「Security Update 2003-06-09 により、AFP(Apple Filing Protocol)が NFS
> (Network File System)マウントを再共有していた、セキュリティ上の潜在的
> 問題が解決されます。また、このアップデートでは、Kerberos 認証使用時に 
> LDAP バインドの認証リクエストが適切に送信されないという問題も解決されま
> す。」
<snip>
> 前半部分は
> 
> <http://docs.info.apple.com/article.html?artnum=107588>
> 
> のことを指しているかと思いましたが,現時点では詳細は分かりませ
> ん。情報があればフォローをよろしくお願いいたします。

前半の再共有の件、未だ詳細が解りませんね。
CAN-2003-0379 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0379>
もまだ確保されたばかりの様ですし。

で、直接この件と関係無いと思うんですが、最近どこかで再共有時の
問題についての投稿を見た気がしたので情報を追ってみました。

# 実際に最初に見たのはMacOSX-admin MLですが。
# <http://www.omnigroup.com/mailman/listinfo/macosx-admin>

AppleのMacos-X-Server MLの以下のスレッドです。

○AFP re-share of NFS mounts - quota enforcement
http://lists.apple.com/mhonarc/macos-x-server/msg03530.html
http://lists.apple.com/mhonarc/macos-x-server/msg03558.html
http://lists.apple.com/mhonarc/macos-x-server/msg03559.html

NFSを再共有してAFPで公開している場合にquotaが効かないという話
なのですが、

 OS X ---AFP---> X Server ---NFS---> Solaris 9/Veritas

だとして、X ServerのAppleFileServiceがroot権限で動いているから
NFSに対してroot権限で書き込んでしまうと語られてますね。
(ので、quotaが効かない)

この件と、玉岡さんが挙げてらっしゃるKBaseの件を併せて考えると、
もしかして違うプロトコルで複数ユーザが同時に同じファイルにアク
セスした際に、上の図の状態でAFP経由側からはroot権限で上書きで
きるのか??? などと思いました。

# 妄想の類の話ですけどね。(^^;;


P.S.
古暮さん、翻訳有難うございます。
# このメールに書くのもアレですが。

-- 
石川 泰久/vm_converter
vm@xxxxxxxxxxxxxxxxxx


--[PR]------------------------------------------------------------------
【 FreeML ユーザー登録してますか?】
  ・メールアドレスとパスワードのカンタン登録!
  ・ニックネームもつけられるし、WEBメールも使える!
  ・MLだってカンタンに作れちゃう!
▼ いますぐ登録! => http://click.freeml.com/ad.php?id=121394
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp