WU-FTPDに深刻なセキュリティーホール 64
ストーリー by koyhoge
教えてくれなきゃいやーん 部門より
教えてくれなきゃいやーん 部門より
zncとkkksのタレコミ。 Security Focusの BUGTRAQ MLで発覚し、 ZDNetが記事にしたところによると、 WU-FTPDに深刻なセキュリティーホールが発見されたそうだ。 リモートからroot権限が取られてしまう危険度の高いものなので、WU-FTPDでftpサイトを立ち上げているところは、すぐに対処する必要がある。
今回さらに問題になったのは、Red Hatが自社のディストリビューションに対するパッチができた段階で、問題を早々に公開してしまったことだ。そのため、他のディストリビューションは慌ててパッチを作成することになった。(現時点ではWU-FTPDのオリジナルサイトでも、この問題に対するパッチは公開されていない。)
迅速であることが肝心のセキュリティ情報だが、今回のように速すぎても逆に問題が発生してしまう。公開のタイミングは非常に難しいということが浮き彫りになった。なお、Red Hatはこの件ですでに謝罪している。
パッチ情報 (スコア:3, 参考になる)
このページ [isoternet.org]の下の方にあるやつ…かな?未確認(ていうかwu-ftpdを触ったことないです…)。どなたか適用してみてください :-P
Re:パッチ情報 (スコア:1)
ftp> ls ~{
227 Entering Passive Mode (192,168,0,24,248,203)
550 Missing }
になりますね。
このへん [isoternet.org]と、これ [neohapsis.com]もらって当てました。
Re:パッチ情報 (スコア:1)
過去のバージョンのサポートはありがたいけど (スコア:2)
/etc/pam.d/system-auth がないので駄目だと言われました。
rpmを使っていて、該当のものがない場合には
http://rpmfind.net/linux/rpm2html/search.php?query=pam
などから手に入れる必要があるかも知れません。
- Ryuzi Kambe -
Re:過去のバージョンのサポートはありがたいけど (スコア:2)
今さらwu-ftpd使う? (スコア:2)
本質的に、 wu-ftpd は外部プログラムが実行できる(だから高機能なんですが)以上、 セキュリティー問題が出やすいなんてのはジョーシキかと思いましたが、、、 この程度の事を知らずにインターネットに wu-ftpd でサービス公開する人がいるんでしょうか。
まあ、 wu-ftpd が駄目なら、当分は他の ftp サーバーでサービスすれば済むでしょうけど。
BSD系では wu-ftpd は Linux より使われるケースが少ないと思います。標準の ftpd が結構、機能拡張されてますからねぇ。これをきちんと設定すれば、わざわざ「wu-ftpd でなけりゃ」ってケースはあんまり考え難い。
wuftpdなディストリ (スコア:1)
OpenBSDのftpdも(少なくともDebianには)用意されているし。
wu-ftpdを標準としているLinuxディストリビューションってなにがあるんでしょう??
Re:wuftpdなディストリ (スコア:2)
・昔の Red Hat
・昔の Vine
などは標準だったみたいですが (違ってたらゴメンネ) おっしゃる通り、今どきのディストリビューションでは、とんと見当たらないですね。 (数が多いので調べきれないですけど)
どうやら、もはや wu-ftpd は、すっかり「落ち目」みたいです。となると、「WU-FTPDに深刻なセキュリティーホール!」と騒いだ所で、昔ならともかく、今ではもはや「wu-ftpd なんか、誰も見向きもしない」に等しい状況だと、結局、ゼンゼン大した問題じゃないような。
Windows の IIS は、 Code Red だの Nimda だのによって「もう沢山だ!」という程にやられまくって評判を落としましたが、元の ZDNet の記事って、「Linux だって同じで危険だ!」という、シロートを怯えさせるための情報操作っぽいような気が、、、
怯えてるくらいでいいのでは? (スコア:1)
どっちかと言うと、ディストリビュータやFAQ編者の方達が
先陣を切って安全神話をつくろうとしている方が問題だと思います(Windows との対比で。
オープンなためにパッチが誰かにリリースされる素早さがある反面
穴が見つかりやすいとも言えるので、
「オープンソース=安全」と直結するのは危険に感じるからです。
オープンソースのシステムが積極的な善意の上に成立している
という理由は絶対的ではないですし、
Windows が泥をかぶってくれてるからこそ安全と言える、
という見方もできなくはないかと(^^;。
Re:wuftpdなディストリ (スコア:1)
インターネット上に立っているFTPサーバの正確な数は分からないが,このソフトはファイルサーバに非常によくインストールされており,Red Hat,SuSE,Caldera International,TurboLinux,Connectiva,Cobalt Networks,MandrakeSoft,Wirexなど,各社のメジャーなLinuxディストリビューションに付いてくる。
だそうで、この情報が間違いでなければ、メジャーどころの大多数は使ってる、って気がしますけどね。俺はLinux使ってないので詳しくないんですけど、他にメジャーどころで思いつくのは、Debian、Slackware、(日本だと)Vine、Plamoくらいです。他にどんなのがあるでしょうか?
そういえば、2年くらい前に某サーバメンテ系会社の技術者と話してたら「FreeBSDでもwu-ftpd入れて他社に提供してる」って言われて眩暈がしたことがあったな。「単に匿名ftp server動かすだけなら、FreeBSD付属のftpdでもできるし、そっちの方が良いよ」って教えてあげたけど、彼は匿名ftp serverはwu-ftpd以外無いと思い込んでいる(or社内でそう教え込まれている)らしく、全く話がかみ合わなかったから、あそこの会社では今でもwu-ftpd使ってるんだろうなぁ。
Re:wuftpdなディストリ (スコア:1)
> >・昔の Red Hat
> >・昔の Vine
> をパッチを当てつつ使い続けているところは少なくないのではないでしょうか。
昔の Slackware つかってます。
libc5なので、ProFTPdが使えないです。
## リモートなのでlibc6にもあげられんし……
この環境で使える実績がある安全なftpdはあるのでしょうか?
Re:今さらwu-ftpd使う? (スコア:1)
かのOpenBSDのftpdの移植版らしいです。OpenBSDだからって、安心は
できませんが、使った感じでは、なかなか良さそうですよ。
早すぎて問題ですか・・・ (スコア:2)
緊急対処法? (スコア:1)
ZDNETをみるとanonymousがどうのとか書いてありますが...
Re:緊急対処法? (スコア:2)
- Ryuzi Kambe -
Re:緊急対処法? (スコア:2, 参考になる)
ProFTPD [proftpd.org]なんかいいですよ。設定楽ちんで。
だからネタ元を調べなさいって (スコア:2, 参考になる)
> If anonymous FTP is not enabled, valid user credentials are required to
> exploit this vulnerability.
と説明されてるでしょうに。
要するにAnonymous接続を有効にしているか、ID/Passwordが攻撃者にバレてると
今回のセキュリティーホールを用いた攻撃を受ける可能性がある、と。
Anonymousサービスをしてないのであれば、取り敢えずはID/Passwordを見直す
程度でパッチリリースまでは大丈夫かも知れない...マイナーサイトであれば。
アタッカーに集中攻撃されりゃそれまでだろうけど、Anonymousが駄目だったら
すぐに諦める(作りのアタックツールを使ってる)例が多いみたいだしね。
Re:緊急対処法? (スコア:1)
ログインはしないまでも接続のみされた状態で
アウトなのか?
ということですね?
ここは、anonymousがどうとかでているのでログイン済み
の段階だと思います。
原文によれば、特殊文字を含むファイル名を処理する部分
だそうですので、ふつうに考えればログイン済みでなければ
通らない場所でしょうから・・・
anonymousを止めればよさそうですが、パッチ適用までは
サービス停止、そこまでいかずともanonymous制限&ポート変更
くらいはしといた方がいいかもしれませんよね。
「Linuxサーバに…」の怪 (スコア:1)
とあるが、何故にこのような見出しになってしまうのだろうか?
ほとんど野次馬を呼ぶための東○ポの見出しと変わらんぞ。もしや
どこかの会社の後押しを受けているのでは、と疑いたくなってしまう。
Re:「Linuxサーバに…」の怪 (スコア:1)
うむ。正しく書くならLinux開発会社に「深刻な」セキュリティホールだわな。
Re:「Linuxサーバに…」の怪 (スコア:1)
どっちにしろすごく間抜けっぽい。
Re:「Linuxサーバに…」の怪 (スコア:1)
Re:「Linuxサーバに…」の怪 (スコア:1)
1)「深刻じゃない」セキュリティホールだ。
2) ほとんどのLinuxディストリビューションでは、wu-ftpdはデフォルトでインストールされてない。
3) 問題あくまでもwu-ftpdの問題であってLinuxの問題ではない。
4) Linuxだけの問題ではなく、wu-ftpdが動き得る全てのOS上の問題である。
5) その他
どれでしょうか?
1), 2) だったら「ふーん、そうなんだ」と思うだけですが、もしも3)だとすると、(Linuxユーザではない俺から見ると)単なる詭弁にしか思えないです。そういうことを言うなら、そもそもシステム全体を指してLinuxと呼ぶ慣習自体が誤りだし、GNU/Linuxと呼んでも全然足りないですよね。GNU/Linux+gnome+apache+samba+....みたいに言わないといけないってことで、そういうことをしないで昔からシステム全体を指してLinuxって呼んできたのは、いったいどこのコミュニティですかね?と思う次第です。
4)については、寡聞にしてデフォルトでwu-ftpdがインストールされているOSをLinuxディストリビューション以外に知らないのですが、そういうOSはあるのでしょうか?たしか*BSDやSolarisは自前のftpdが入ってたはずですし...「デフォルトで入っている」のと「自分でインストールする」のには大きな違いがありますね。
Re:「Linuxサーバに…」の怪 (スコア:2)
「WindowsNT, 2k, XPにセキュリティーホール」
と報道されたとしたら、どう思います?
M$は、「これはOSの問題ではない」というんじゃないですか?
Re:「Linuxサーバに…」の怪 (スコア:1)
なんでいつもいつもMicrosoftを目のかたきにして比較するんでしょうか? Linuxが話題になると,ほぼ毎回こうやってMicrosoftと比較したがる人が出て来るけど,そういうことを言っている限りは,「Linux=アンチMicrosoftな人が使うOS」っていうレベルから抜け出せない気がするんだけど.
しかも,今回の件に関して言えば.この
>> M$は、「これはOSの問題ではない」というんじゃないですか?
っていう発言は,「だから俺達も同じレベルの言い訳をしても良いんだよ」的な悲しい意味にしか読み取れないんですけど.
どうせなら,「Microsoftだったら言いわけをするだろうが,俺達は違う.自らのミスを認め,早急に対処する」と言い切るくらいの気概を持ってくださいな.
Re:「Linuxサーバに…」の怪 (スコア:1)
そういう意味じゃなんですが、先のあなたの発言が「M$大好き、Linux嫌い」人間のように読めたので、それに対する皮肉で書いたんです。
私の勘違いのようで、申し訳ないです。
Re:「Linuxサーバに…」の怪 (スコア:1)
>それを一つの見方として OS の問題と括られて
括られるのは、入っている「から」ではなく、
MS自身が言っているように「OSに統合されて」いるから、なのでは?
ええ。身から出た錆ってやつですね。
統合という言葉で笑おうとしたMSは、統合という言葉に泣いた、と。
>Windows はコンポーネントモデルで OS とそれ以外の境界線があいまいなわけで。
>Linux も、RPM 使ってどこまでが OS なのかよくわからん作りになっている
うーん???随分と違うと思いますよ両者は。いろんな意味で。
超おふとぴながら「コンポーネント」について違いを言うならば、
Unix をもう少しマシなものにしよう [os-omicron.org]あたりかな。
Re:「Linuxサーバに…」の怪 (スコア:1)
視聴率(読者数)とってナンボのもんで、とにかく"Linux"と書くと
読者や野次馬の注意をを引くことができるのだ、というのも一つの
考えですが。
主題が"早期の情報公開による混乱"だったからでは? (スコア:1)
"RedHatの勇み足による混乱"を取り上げているもの。
Bugtraqの続報 [securityfocus.com]を見ても、影響を受けるベンダーの多くは
Linuxデストリビュータなのだから、タイトルにそれほど
違和感ないのでは・・・?
まぁ、"サーバ"は要らないと思いますが元原稿 [zdnet.com]が、なぁ。
Re:「Linuxサーバに…」の怪 (スコア:1)
6) RedHat Linux = Linuxコミュニティ、ではない
なんだけどな。
MS以外の Windows はないけど、RedHat 以外の Linux はたくさんある。
# mishimaは本田透先生を熱烈に応援しています
Re:「Linuxサーバに…」の怪 (スコア:1)
RedHat Linux = Linuxコミュニティ
っていう意図が読み取れるのか、さっぱりわからんです。俺の書いてることが全く伝わってないみたいですね。mishimaさんは、もしも「LinuxってメールサーバとかWindowsのファイルサーバもできるんだよね?」って聞かれたら「Linuxは何もできないよ。Linuxはkernelだけだからね」ってキッパリ言い切るんでしょうか?;-)
Re:「Linuxサーバに…」の怪 (スコア:1)
いや、「RedHat Linux = Linuxコミュニティ、ではない」というのは
あなたの文章からではなくて ZDNet の記事に対してなんだけどね。
> もしも「LinuxってメールサーバとかWindowsのファイルサーバもできるんだよね?」って聞かれたら「Linuxは何もできないよ。Linuxはkernelだけだからね」ってキッパリ言い切るんでしょうか?;-)
ちなみに言っとくと、OSとその上で乗ってるサーバとをきちんと区別する、
なんてのはLinuxに限らずどこのOSでもやってない。素人に
「FreeBSDってWWWサーバとかWindowsのファイルサーバもできるんだよね?」って聞かれたら
「FreeBSDだけではできないよ。ApacheやSambaをインストールしないとね」
って答えるのはよほどの揚げ足取りだと思う。
そんな質問をしてくる人間はにとっては「技術的にできる」か「できない」かだけが、厳密な答え欲しがってるのは
だから、IISで問題が起こればそれを載せてるNTが悪いと言われても仕方ないし、
WU-FTPD で問題が起こればそれを載せてる RedHat Linux が悪いと言われても仕方がない。
しかし、NTの問題を Windows 全般の問題のように見せるのは変だし、
RedHat の問題を Linux 全般の問題のように見せるのも変だ。
百歩譲って、Windows ならどれも同じ会社が作っているので
同じ問題を抱えているに違いない、と推測されても仕方がない。
しかし Linux のディストリビュータはひとつじゃない。
RedHat がだめでも SuSE がある、Mandrake がある、Slackware がある、Debian がある、Kondara がある…
そういう多様性のあることが Linux の特徴だろう。
「RedHat Linuxサーバに深刻なセキュリティーホール」かもしれないが、
「Slakware Linuxサーバに深刻なセキュリティホール」ではないんだから。
#もちろん、Linux カーネルに深刻なセキュリティホールがあるなら
#「Linuxサーバに深刻なセキュリティホール」と書いてもいいけどね。
#あるいはUnixが持ってるセキュリティホールとか。
# mishimaは本田透先生を熱烈に応援しています
Re:「Linuxサーバに…」の怪 (スコア:1)
>なんてのはLinuxに限らずどこのOSでもやってない。
えー・・・ほんとですかぁ??
#OSとサーバプログラムをいっしょくたに考える方が異常だと、個人的には思うけど。
#インストールしてないアプリケーションが動くはずないんだから、サーバプログラムと
#OS本体を区別して扱うのはある意味当然でしょう。
#MSみたいに「OSに統合した」わけじゃないんだし(苦笑)。
>素人に
>「FreeBSDってWWWサーバとかWindowsのファイルサーバもできるんだよね?」って
>聞かれたら
>「FreeBSDだけではできないよ。ApacheやSambaをインストールしないとね」
>って答えるのはよほどの揚げ足取りだと思う。
それはおかしくないですか?
そもそも、FreeBSDだとSambaやApacheなんてものはインストール時に
一緒に組み込まれたりしません。
だから、「別にアプリケーションが必要なんだよ」って教えるのは当然のことで、
そう教えないのは間違った知識を教えてるって事です。
>そんな質問をしてくる人間はにとっては「技術的にできる」か「できない」かだけが、
技術的に出来るか出来ないか、はいいですが、正しくない知識を広めるのはやめた方がいいです。
#そんな技術的な質問なら、次に「何が必要か」を聞かれるのですから、先に言っておいた方がより親切です。
#何が必要かを聞いてこないなら、そんなのは相手にする必要はない、と個人的には思いますね。
#わたしはサポセンのスタッフじゃないんで。
あと、なんか論理の流れがおかしいんですけど。
>だから、IISで問題が起こればそれを載せてるNTが悪いと言われても仕方ないし、
>WU-FTPD で問題が起こればそれを載せてる RedHat Linux が悪いと言われても仕方がない。
この辺り、専門的な知識のないヒトにとっては、まぁ、仕方ないとは言えるでしょう。
#ちょっと論旨がおかしいけどね。区別するといっておきながら、サーバプログラムの
#動いているOS側にも問題があるように言ってるから。
#きっちり区別するんなら、全部区別しましょうや。
>しかし、NTの問題を Windows 全般の問題のように見せるのは変だし、
>RedHat の問題を Linux 全般の問題のように見せるのも変だ。
これは完全に同意できます。
それなのに、
>#もちろん、Linux カーネルに深刻なセキュリティホールがあるなら
>#「Linuxサーバに深刻なセキュリティホール」と書いてもいいけどね。
>#あるいはUnixが持ってるセキュリティホールとか。
Linuxの話から、なぜUnix全般の話になるんです?
Linuxの実装や技術が他のUnix全てに使われているわけじゃないんですよ?
それこそ区別するべき点です。
---- redbrick
Re:「Linuxサーバに…」の怪 (スコア:1)
つまり、自分のところに質問が来た場合、
まず最初に相手の間違った知識を正してやることが必要だと?
残念ながら自分にゃ無理だな。面倒すぎる。
「間違った知識を直す」のはできることならマスメディアにやってほしい。
「自分としては正しい答えを伝えたけど、相手には多分伝わってない」
というのは明らかにアウトだよなぁ。
それなら例え間違っていても、相手に大意が伝わる方を選ぶな。
> #何が必要かを聞いてこないなら、そんなのは相手にする必要はない、と個人的には思いますね。
世間のほとんどの人間の認識はその程度だ、というのは悲しい事実だけどね。
> >#もちろん、Linux カーネルに深刻なセキュリティホールがあるなら
> >#「Linuxサーバに深刻なセキュリティホール」と書いてもいいけどね。
> >#あるいはUnixが持ってるセキュリティホールとか。
>
> Linuxの話から、なぜUnix全般の話になるんです?
> Linuxの実装や技術が他のUnix全てに使われているわけじゃないんですよ?
すまん、書き方が悪かった。
『あるいは Unix が持ってるセキュリティホールとか』が見つかったら
『「Linuxサーバに深刻なセキュリティホール」と書いてもいいけどね。』
と言いたかった。
# mishimaは本田透先生を熱烈に応援しています
Re:「Linuxサーバに…」の怪 (スコア:1)
>まず最初に相手の間違った知識を正してやることが必要だと?
基本的にはそうだと思っていますです。
ただ、わたしも「できるかぎり」、としか言えませんけどね(汗)。
マスメディアは、ある意味嘘をまき散らすしか能がないので、
わたしはあまり期待していないです。
#自分が特殊だとは理解してはいますが、一次情報にあたると、事実を曲解して
#報道される例が多すぎて、マスコミは個人的に信用できないです。
>「自分としては正しい答えを伝えたけど、相手には多分伝わってない」
>というのは明らかにアウトだよなぁ。
うーん、相手に伝わらないとアウトですよねぇ(汗)。
>それなら例え間違っていても、相手に大意が伝わる方を選ぶな。
わたしの場合は、できるかぎり単純化した例(最初と最後だけとか、中間をBlackBoxとしたり)や、
似たたとえを交えて説明しますね。
>世間のほとんどの人間の認識はその程度だ、というのは悲しい事実だけどね。
ここ、悲しいけれど、同意です・・・。
>すまん、書き方が悪かった。
あ、すみません、書き間違いでしたか(汗)。 #書き間違いを責めるつもりは毛頭ありませんです(汗)。
#わたしもよくやりますし・・・。
>『あるいは Unix が持ってるセキュリティホールとか』が見つかったら
>『「Linuxサーバに深刻なセキュリティホール」と書いてもいいけどね。』
>と言いたかった。
・・・・・。
これ、上方のも Unix → Linux の方がよくないですかね?
Linuxの実装が伝統的なUnixの手法を踏襲してるとは限らないですから。
実装方針なんかも違ってると思いますし。
#既に見直されててLinuxじゃ問題にならない可能性だってありますので、
#Linuxに濡れ衣着せる可能性が・・・。
共通の原理として穴があるなら、それでいいと思いますが・・・そんなのあるのかな??
#バッファオーバーフローの話とかなら、そういっていいのかなぁ?
---- redbrick
Re:「Linuxサーバに…」の怪 (スコア:1)
いまさらUnixというもの自体に穴があるとも思えないが、
shadow 導入以前の /etc/passwd のような問題が今もしあれば、
というのが頭にあった。
(自分が使い始めたときには既に shadow 化されてたけど)
あれは「Unixの問題」と言えただろうし「Linux」の問題でもあったろうなぁ。
# mishimaは本田透先生を熱烈に応援しています
Re:「Linuxサーバに…」の怪 (スコア:1)
というのはもっともだし、これがRedHatの独自インストーラの問題とかだったら、さすがに「おいおい、LinuxじゃなくてRedHatの問題でしょ」って思うけど、(別投稿にも書いたように)zdnetの記事によると、
インターネット上に立っているFTPサーバの正確な数は分からないが,このソフトはファイルサーバに非常によくインストールされており,Red Hat,SuSE,Caldera International,TurboLinux,Connectiva,Cobalt Networks,MandrakeSoft,Wirexなど,各社のメジャーなLinuxディストリビューションに付いてくる。
だそうで、mishimaさんが(おそらく無作為に)選んだメジャーなディストリビューションでも半分以上にはwu-ftpdが入ってるようですけど?というか、この記事を信じれば、これ以外で(世界的に)それなりに数が出てそうなのってDebian以外は思いつかないし、「世間の大半のLinuxシステムにデフォルトで入っている」と言えるでしょう。
そこで「hogehoge Linuxだったら入ってないんだからLinuxの問題ではない」的なことを言うなら、やっぱり「Linuxって何もできないよ。Kernelだけだからね」って*常に*言いつづけるしか無いと思うけど。だって、全Linuxディストリビューションの共通点ってそれしかないでしょ。(あ、MkLinuxは別か(^^;;)
仮にemacsに問題があっても「いや、hoge Linuxは最初にemacsは入ってないから、Linuxの問題じゃないよ」って言うわけ? 仮にglicに問題があっても「いや、別のライブラリ上でLinux Kernelを動かせば安全なんだから、Linuxの問題じゃないよ。単に、まだ誰も動かしてないだけで」とか言うわけ?もしx86版Linuxに問題があっても「一部のディストリビューションの問題だよ。だってSPARC版Vineには問題無いもん」って言うわけ?どこまではLinuxの範疇なのかな?
Re:「Linuxサーバに…」の怪 (スコア:1)
む。自分もここ何年か Linux を使いつづけてきたし、WU-FTPD を使ってた時期もあるが、
デフォで入っているディストリビューションはホントにこんなに多いの?
知らなかったな。それなら「Linuxの問題」と言われても仕方がない。
ちなみに
> どこまではLinuxの範疇なのかな?
ってのは曖昧で難しい問題だと思うんだが…
サーバに関していえば、インストール時にデフォルトで入っていなくても
事実上みんなが使うようなものは Linux の一部と言って差し支えないと思うがね。
# mishimaは本田透先生を熱烈に応援しています
root権限? (スコア:1)
とありますが、本当ですか?
BugTraqの解説によれば、特定のglobbingパターンを送れば、globbingに失敗し、かつ失敗したというフラグを立たせないでおくことができるそうです。結果、malloc()してないのにメモリを開放しにいって、ヘンなところを開放してしまってぐちゃぐちゃ…で、狙えば(狙えるのか?)サーバ上の任意のコードを実行できる、そうです。
で、うまく狙えば(狙えるのか?)リモートからroot権限を取れるのでしょうか?少なくともBuqTraqにはrootという単語は見当たりませんでしたが…。
Re:root権限? (スコア:1)
Re:root権限? (スコア:1)
> The attacker must also place shellcode in server process memory.
という記述で判断しました。ftpdは通常rootで動くので、そのプロセス空間内で任意のコードが実行できれば、root権限を取るのに大きな壁はないでしょう。
もちろんおっしゃるように、本当に狙って任意のコードを実行させることが可能なのかというのは、かなり難度が高いと思いますが。
Re:root権限? (スコア:1)
anonymous ftp に至っては chroot もするので、いじれるファイルも その anonymous の世界だけに限られますな。
Re:root権限? (スコア:1)
メーリングリストやNetNewsのアーカイブなどのヘッダにあるPosting Host IPとメールアドレスを利用すれば、かなりの確率で「釣れ」そうに思うのですが…。
それを考えると、今回の穴は結構まずい(特にFTPなんてインストールしたままにしているユーザが多いだろうから)かも知れないと思うのですが…
Re:root権限? (スコア:1)
ftpdは、最近はインストールはされていても立ち上がっていないことが多いと思います。
Linuxだと明示的に入れないと無い場合の方が多いと思います。
(自分がフルインストールはしないからかしら)
ただ、自前でftpサービスを上げる人もいるでしょうから、
おっしゃっている危険は確かに有ると思います。anonymousでなくても、クラックされる危険性はあるわけですし。
少なくとも、アクセスログくらいはチェックしないと。
本当かい♪本当かい♪
公開されて、まずいの? (スコア:1)
#おれ↓、そんなに変なことを言っていますか?なにか見落としていますか?
そりゃ辛い面もあるかとは思うけど、
「パッチができるまで情報の公開は見合わせる(べきだ)」なんていうようでは、
散々非難されてきたMSの振舞いと、どこがそんなに大きく違うのだろう?と
思ってしまったのです。
言いかえれば、これってRHは「誰に」謝ったのでしょうか?
まさか、出し抜かれたライバルDistributer各社に、ではないでしょうね?
万一そうだとしたら、そんなギョーカイ内輪のネタはどーでもいいです。
だって、バグがみつかった→情報が公開された→それを読んだ誰かがパッチを作った、
というOpenSourceとして当然(^^;流れを、誰も壊していないわけでしょ?
「今」は公開の後でパッチの前という瞬間に相当する、というだけのこと
だと思うのですが…????
つまり普通のユーザーや普通のハッカーから見れば、
なにも変らない日常が、流れているだけなのでは??
(ZDより)
>「パッチの発行はロケット開発競争とは違う。みんなが一緒に作業にあたっているので,私たちは当初,そんなに緊急でパッチを出そうとはしていなかった」とHuger氏。
これってもろにバザールモデルから遠のいている考えかただと思うんですが、
98年(だっけ)にESRがあれを書いてからここ数年で、世の中はそんなに変わってしまったのでしょうか?(^^;;;;;
というかそもそも、「深刻だ」といいながら「緊急」に作業してなかった、ってのは
なんか矛盾してませんか??
わざと曲解してません? (スコア:1)
> 「パッチができるまで情報の公開は見合わせる(べきだ)」なんていうようでは、
> 散々非難されてきたMSの振舞いと、どこがそんなに大きく違うのだろう?と
今回のセキュリティーホールは11/14に発見された後、12/3に公表される予定で
パッチの準備が進められていた。必要とされた猶予期間は半月と少し、しかも
リリースまでのスケジュールは関係者の間で調整済みだった。
...これの何処が"非難されてきたMSの振舞い"と同じと主張されるのでしょう?
> 言いかえれば、これってRHは「誰に」謝ったのでしょうか?
wu-ftpd開発グループや各ディストリビュータ、特にユーザに対してでしょ。
> だって、バグがみつかった→情報が公開された→それを読んだ誰かがパッチを作った、
> というOpenSourceとして当然(^^;流れを、誰も壊していないわけでしょ?
ある程度規模の大きいプログラムの場合、影響の大きいパッチを作る人はその
プログラムの開発に元々関係している人物であることが多い。つまり、保守が
行われているプログラムならば、問題点を一般に周知しても実際のパッチ作成
には寄与しないことになる(関係者に知らせるだけで十分)。
むしろアタックツールの開発者に材料を提供することに成りかねず、悪影響の
方が大きいと考えられるのでは?
> >「パッチの発行はロケット開発競争とは違う。みんなが一緒に作業にあたっているので,私たちは当初,そんなに緊急でパッチを出そうとはしていなかった」とHuger氏。
>
> これってもろにバザールモデルから遠のいている考えかただと思うんですが、
何故?
wu-ftpdの開発に興味ある人は当然wu-ftpd開発グループに参加済みでしょうし、
関係者が協調して作業することのどこがバザールモデルに反するの?
> というかそもそも、「深刻だ」といいながら「緊急」に作業してなかった、ってのは
> なんか矛盾してませんか??
"深刻"だからこそ"もう少し時間をかけてテスト"する必要があり、"リリースは
12月3日になる見込み"だとZDNetの記事には書いてあるのですが・・・
どうすれば"「緊急」に作業してなかった"と読み取れるのでしょうか?
Re:わざと曲解してません? (スコア:1)
>むしろアタックツールの開発者に材料を提供することに成りかねず、悪影響の
>方が大きいと考えられるのでは?
そういう考えかたを(とにかく公開!という考えかたより)重んじるってのは、
MSの「責任ある情報公開」という(困ったちゃんな)考えと、どれくらい違うのか?って疑問です。
>関係者が協調して作業することのどこがバザールモデルに反するの?
ほかの人も書いていますが、協調「(を必要と)せずに」作業するのがバザールモデルですよね。
そうしないなら伽藍モデルです。
それとも、(俺が知らないだけで、)バザールモデルの定義として、
最近はもっと違うものが出現してるんでしょうか?
つまり、ESRのオリジナルの意見を「(部分)否定」するのが、最近の世間では主流になっている、のでしょうか?
Re:わざと曲解してません? (スコア:1)
「対策が出来あがるまで、"セキュリティホール(を発見したという事実)を"公表しなかった」わけでしょ?
#ええと。勘違いだったら超御免だけど、今回のって、
#「書いたパッチの」公開の話では無いのですよね?
#それより前の、穴自体の情報の公開の話ですよね?
だとしたら同じでは?
あかの他人がパッチを書くチャンス(たとえ困難だったとしても)を
「増加させなかった」わけですから。
たとえ非現実的だったとしても、そういう可能性への道を閉ささないのが、
OpenSource畑だと思うのですが。
>wu-ftpd開発グループや各ディストリビュータ、特にユーザに対してでしょ。
そうなんですか?
ディストリビュータとかの間で(だけ)すでに情報が流通していた、という意味では、ないんですか?
ない(建前論じゃなく本音として)のならば良いのですが…
(ZDより)
>11月14日にコンピュータセキュリティ企業のCore Security Technologies(Core ST)からこの問題点についての報告を受け,ベンダー各社と共に対処作業を進めてきた。
少なくとも各社には「すでに流通」してたのは事実ってことですよね。
その各社に対しては、出し抜きを謝ったのでわないかと。
いっぽうユーザーから見れば、情報公開とパッチ公開が同時なら
「実用上(^^;は困らない」ということになっちゃうし、
そうじゃなく、困らないからといって済む話じゃないとすれば、なぜ済まないのかといえば、
そりゃやっぱり「情報はより早く出すべきだ」からじゃないですか?
でも(ZDより)「ストップがかかるようにする。」といっているところをみると、
RedHatは後者の解釈を支持していないわけであって、
後者の意味では謝る必要をみとめていないわけでしょ?
>どうすれば"「緊急」に作業してなかった"と読み取れるのでしょうか?
ああ。失礼。「作業」は緊急にやっていたようですね。
ただし「情報公開」のほうは(「作業」よりは)緊急にするべき、とは
思っていなかったのは確かである(と俺には読めました)が。
Re:わざと曲解してません? (スコア:1)
いいえ。
(今日は(笑)、)MS全体を漠然と人格批判(^^;したいというわけじゃなくて、
つい先日のあの「責任ある情報公開」云々というMSの発言(ってのかな)に
ちょうど旨い(まずい)具合に重なってしまうのが今回のRedHatの姿勢である、
のではないかな?と思ったってのが、そもそも俺の今回の発言の動機であり主眼です。
外す理由は有りません。似ていると思えた対象がMSの発言だ、ということです。
まぁ、情報公開に対する姿勢については、同じくらいヌルい(^^;発言をする人や企業は
多数有るでしょうから、その中からなぜMSを選んだか?と問われれば
あまり強く反論するネタは持ち合わせてはいません。
ただ、MSのあれとは、昨日(じゃないけど先日)の今日ですんで、タイミングがねえ。
むしろ、「たまたま日が近かっただけなのだからMSを出すのはおかしい」
という理由でMSを外す、という必要もまた無いと思います。
ましてや、フレーム野郎がMS云々を読むたびにフレームを起こす「から」書くな、
という理由ならば、悪いのは俺じゃない(^^;のは明らかかと。
Re:公開されて、まずいの? (スコア:2, すばらしい洞察)
> 呼びかけるべきであって。
bugtraq には「wuftpd を使っている distribution の開発者は
root の取れるセキュリティーホールがあるので至急連絡ください」
というメール [securepoint.com]が流れていたようですが...。
あまりに謎めいたメールではありますが、root 穴があるという情報はこれでも得られます。
Security hole の情報が公開されるべきだとされるのは、
攻撃による社会的な損害を最小限に留めるためには、
ずーっと穴の情報を隠しておいて独立に発見した一部の cracker に
蹂躙されるよりも、穴が修正されないならそれを使うのを
やめる、あるいは独自に修正するといった自衛手段を
提供するほうが好ましい、というコスト判断に基づくもので、
それ自体は open-source であろうと closed-source であろうと
変わりません。
Full-disclosure もその過程で「ベンダによる危険性の矮小化」を
防ぐために必要であるからであって、別に open-source の
理念とか、そういう観念的な要求によるものではないはずです。
一般的には2週間程度の時間差でパッチを用意してから
穴の詳細情報とともに公開するのが、
情報公開によるパッチ当ての推進と情報公開による攻撃の増大との
両天秤の結果として広く受け入れられていると思います。
ベンダがこの時間内に対応できないならば、次善の策として
広く情報公開をして各自が必死に独自パッチを作るというのが手順ですね。
その際には full-disclosure が必須になってしまいますし、
攻撃の機会も増やしてしまうけどそれはしかたがないということで...。
今回の発見から2週間という time-span は security community では
妥当だと認められている範囲だと思われます。
MS の「節度ある公開」が非難されているのは事実上無制限の
time-span を要求していることが「ベンダの利益の一方的追求」と
捉えられることと、IE? の件で実際に通知されていたことを
隠したからであって、今回の事例には該当しません。
僕個人の意見としては、open-source の理念なんかよりもはるかに
(ベンダのではなくて)一般ユーザの利益を図るほうが security に
関しては重要であると思いますので、今回の Redhat の行為は
やはり早計であったと考えます。