2006年11月8日(日本時間)、FreeBSDプロジェクトよりセキュリティ勧告FreeBSD-SA-06:24.libarchiveが公開された。SA-06:24は、FreeBSDに標準で含まれるlibarchiveと呼ばれるライブラリに含まれる問題(CVE-2006-5680)を指摘したものだ。2006年9月5日以前の6.x系列に影響があり、CPU資源を枯渇させるサービス妨害攻撃の原因となる危険性がある。ただし、6.x系列からのリリースである6.0-RELEASEおよび6.1-RELEASEには影響しない。

libarchiveとはアーカイバの機能を実現するために使われるライブラリであり、これを使用する代表的なコマンドはtarやcpio。FreeBSDは5.3-RELEASEまでGNU tarを採用していたが、6.x系列以降はlibarchiveを使った独自の実装(bsdtar)を用いている。このライブラリはファイルを走査する部分に問題があり、ある特殊なファイルを処理しようとすると、無限ループに陥ってしまう。

tarやcpioといったコマンドの実行には有効なユーザアカウントが必要なため、脅威として考えられるのはローカルからのサービス妨害攻撃である。しかし、たとえばウィルススキャナのように、ネットワーク経由でやり取りされるアーカイブファイルを自動的に展開する機能を持ったソフトウェアを導入しているケースでは、リモートからでも、この問題を悪用できる可能性がある。

この問題を解決するには、セキュリティ勧告に記載されている修正パッチを適用するか、RELENG_6ブランチの最新のソースを入手してlibarchiveを更新すれば良い。カーネルの問題ではないため、システムの一時停止や再起動の必要はない。