FreeBSDを使っているとソフトウェアのインストールにはportsを使っていることでしょう。FreeBSDでは、portaudot(1)を使うことで、portsでインストールしたソフトウェアの脆弱性情報を手軽に調査することができます。
インストール
ports-mgmt/portauditにありますのでいつもの方法でインストールしてください。
脆弱性情報を調べる
portaudit(1)を「-Fda」オプションと共に実行します。「-F」は脆弱性データベースをサーバーから取得、「-d」はデータベースを作成した日時を表示、「-a」は全てのインストール済みソフトウェアを対象とするオプションとなります。
$ sudo /usr/local/sbin/portaudit -Fda
auditfile.tbz 100% of 91 kB 269 kBps
New database installed.
Database created: Wed Dec 18 01:00:00 JST 2013
Affected package: subversion-1.8.4
Type of problem: subversion -- multiple vulnerabilities.
Reference: http://portaudit.FreeBSD.org/e3244a7b-5603-11e3-878d-20cf30e32f6d.html
1 problem(s) in your installed packages found.
You are advised to update or deinstall the affected package(s) immediately.
$
どうやらsubversionに脆弱性があるようです。更なる情報を得るために、出力結果にあるリファレンスのURL http://portaudit.freebsd.org/e3244a7b-5603-11e3-878d-20cf30e32f6d.html にアクセスするとmod_dontdothat、mod_dav_svnに脆弱性があるようです。これらを使っている場合はアップグレードした方がよさそうですね。
定期的な実行
ports-mgmt/portauditをインストールするとperiodic用のファイルもインストールされます。
/usr/local/etc/periodic/security/410.portauditを読めばわかりますが、デフォルトでportaudit(1)を実行するようになっていますので、当然periodicを活用している皆さんは安心ですね。
まとめ
- FreeBSDではportaudit(1)でportsの脆弱性情報を取得できる
- 「-Fda」オプションで実行すると良い
- periodic用のファイルも生成されるので安心
ディストリビューション/パッケージマネージャー Advent Calendar 2013の21日目の担当はbleuscrさんで、NixOSの話題になる予定です。よろしくお願いします。