« JavaScript無しでフォームをコントロールTomcatの管理者は大忙し? »

Fedoraプロジェクトがクラックされた原因 - RedHat系ユーザは早急に対応が必要

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

追記:斜め読みで勘違いしていた部分を修正しました。RHのSSHのパッケージが全部更新されていたのでここに脆弱性があったと読んでいました。

8/22リリースされたエラータです。

Last week Red Hat detected an intrusion on certain of its computer systems and took immediate action. While the investigation into the intrusion is on-going, our initial focus was to review and test the distribution channel we use with our customers, Red Hat Network (RHN) and its associated security measures. Based on these efforts, we remain highly confident that our systems and processes prevented the intrusion from compromising RHN or the content distributed via RHN and accordingly believe that customers who keep their systems updated using Red Hat Network are not at risk.

http://rhn.redhat.com/errata/RHSA-2008-0855.html

先週Fedoraプロジェクトがクラックされ、SSHパッケージが改ざんたようです。改ざんされたパッケージはSSHパッケージのみようです。

早急に対策が必要です。直ぐに対応できない場合、とりあえずsshを止めてしまうのが良いです。

サインされたパッケージが改ざんされるのは最悪の自体です。こういう場合のリスクを低減させるにはポートノッキングを実装するとよいでしょう。

Webサーバが稼働しているなら、CGIを利用してWebによるポートノッキングを簡単に実装できます。

/etc/init.d/sshd start
sleep 30
/etc/init.d/sshd stop

を実行すれば良いだけです。ほとんど何も入っていないセキュアなWebサーバでもshellは入っているはずです。suidしなければならないので余計な事はあまり考えず、認証を使いたい場合はHTTP認証を使った方が良いと思います。
(30秒以内にログインしないとなりません。短すぎる場合は60秒でも良いでしょう。sshdが止まっても接続済みのセッションは継続して利用できます)

何らかの理由で誤ってsshdが動作したままにならないよう、cronでsshdを停止するようにしておくと良いです。

参考:
Infrastructure report, 2008-08-22 UTC 1200
https://www.redhat.com/archives/fedora-announce-list/2008-August/msg00012.html
OpenSSH blacklist script
http://www.redhat.com/security/data/openssh-blacklist.html
Red Hat (belatedly) confirms security breach
http://blogs.zdnet.com/security/?p=1784

CESA-2008:0855 Critical CentOS 5 i386 openssh Update
http://lists.centos.org/pipermail/centos-announce/2008-August/015194.html
CESA-2008:0855 Critical CentOS 5 x86_64 openssh Update
http://lists.centos.org/pipermail/centos-announce/2008-August/015193.html

このエントリがポストされているのは 8月 23rd, 2008 05:54:14 and is filed under Linux, Security 永続的リンク永続的リンク

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

3 コメント

コメント from: Henrich [訪問者] メール · http://d.ma-aya.to/?date=20080823#p01
***--
「SSHパッケージの脆弱性が原因」だとは私はerrataからは読み取れなかったのですが、どうでしょうか?
2008/08/23 @ 21:52
コメント from: Yasuo Ohgaki [メンバー] メール · http://www.ohgaki.net/
読み直してみました。確かにそうですね。ありがとうございます。書き直しておきます。

しっかり読まなかった言い訳ですが、関係ないのであればごちゃ混ぜにするのは良く無いと思います。何故こんな書き方になったのでしょうね。何が悪かったのかさっぱり分りません。そのうち公開されるのかも知れませんが。
2008/08/24 @ 05:44
コメント from: Henrich [訪問者] メール · http://d.ma-aya.to/?date=20080823#p01
いや、読み違えても致し方が無いと思います。fedora のアナウンスの方を読んだ方がまだ情報量があるかと(それでも根本原因は全然書いていませんが…)

自分のページ http://d.ma-aya.to/?date=20080823#p01にそのあたりを書いておきましたので、逆に大垣さんから見て間違いなどあればツッコミ下さい。
2008/08/24 @ 07:47

コメントを残す


Your email address will not be revealed on this site.

頂いたURLは表示されます。
PoorExcellent
(改行が自動で <br /> になります)
(Name, email & website)
(ユーザに、メッセージ・フォームを通じた連絡を許可します (あなたのメール・アドレスは表示されません))