ちょっと前にNo-IPからメールでDynamic DNS Update Client for Linuxのセキュリティアップデートの案内が来ていた。バッファオーバーフローの脆弱性があった模様。
時間が出来たのでバージョンアップ作業をした。そのメモ。といっても簡単だけど。
- Download a Free Dynamic DNS Update client for your dynamic IPのページ内にある「Download 2.1.9」リンクから最新版のClientをダウンロード
- アーカイブを展開
- 展開して出来た noip-2.1.9-1 ディレクトリに移動
- 一応Makefileの内容を確認してから、おもむろにmake (インストール先とか変えてる人は変更)
- サービス停止 (noip2デーモンがあがっていれば)
-
念のため前のバイナリをバックアップ # mv /usr/local/bin/noip2 /usr/local/bin/noip2-`date +%Y%m%d`
- さっき作ったバイナリをコピー # cp /tmp/noip-2.1.9-1/noip2 /usr/local/bin/
- デーモン起動
- ログ確認
で、ログに
Dec 7 15:36:05 server noip2[27295]: v2.1.9 daemon started with NAT enabled
Dec 7 15:36:06 server noip2[27295]: kuniharumaki.com was already set to xxx.xxx.xxx.xxx.
とか出ていれば完了。今回はIPアドレスも変わっていないので、already set とか出てるけど。
ちなみに新規導入手順はNo-IP.com Dynamic DNS サービスの自動更新設定で。
一応続きにメールの内容も貼っておきます。
Security Advisory – 2008-11-22
——————————————————————————
Summary:
Important: No-IP Linux DUC (Dynamic Update Client)An updated version of the No-IP Linux Dynamic Update Client that fixes
a security issue is now available.This update has been rated as having important security impact.
Description:
Versions 2.1.1- > 2.1.8 are prone to a stack-based buffer-overflow due to
a boundary error when processing HTTP responses received from the update
server. This can be exploited and cause a stack-based buffer overflow when
performing an update.A malicious user could exploit this by faking the No-IP update server
via DNS poisoning or a man in the middle attack. This can cause a denial of
service (client crash) or
potentially execute arbitrary code on the computer the client is running on.Users running versions 2.1.8 and older are encouraged to upgrade to the most
recent version, 2.1.9
at http://www.no-ip.com/downloads?page=linux&av=1Regards,
The No-IP Team
Note: This email was sent from an unmonitored account. If you have any
questions or comments please open a trouble ticket at
http://www.no-ip.com/ticket
コメント