k3c 曰く、 "セキュリティホールmemoへの投稿によれば、www.tcpdump.org(現在は繋がらない)で配布されていたtcpdumpとlibpcapのソースにトロイの木馬が混入していたもよう。発見者のレポートによると既に多くのミラーに汚染されたソースが行きわたっているとのこと。レポートには汚染されたソースとそうでないもののMD5チェックサムが提示されているので、不安なヒトは確認すべし。…しかし最近こういうのが多いですね。"
sendmailに続いて…という感があるが、tcpdump,libpcapいずれもネットワークの世界では定番的なツール。身に覚えのある人は要チェック。
今やコンパイル前の確認は必須 (スコア:4, 参考になる)
ホイホイとソース取って、署名も md5 も確認せずにコンパイルして、動けばオッケ~で問題が起きなかったのは「もはや古き良き時代」の事なのかな。
Re:今やコンパイル前の確認は必須 (スコア:2, 参考になる)
> md5 をチェックせずにコンパイルした人は影響を受けるという事ですね。
レポート [fscker.com]の末尾の謝辞を見ると、
とあるので、Gentoo Linux のユーザーが、Portage system (FreeBSD の ports をヒントに開発された物) によってインストールしようとした所、(恐らく Gentoo Linux のディストリビューションに元々インストールされていた md5 と一致しなかった事から)トロイの木馬であった事が発覚した事が読み取れます。 よって CERT に掲載された md5 と比較する事でトロイの木馬入りかどうかは、今となっては確認できますが、 11/11~11/13 の間に tcpdump.org からソースをダウンロードした人は、 tcpdump.org の Web サイトにあった md5 はソース同様、書き換えられていた物と思われます。 sendmail の時みたいに、 FTP サーバーは書き換えられたが、 たまたま Web サーバーは無事 (よって正しい md5 が表示され、ダウンロードしたユーザーは本物かどうか確認する手立てがあった) 、 というのではないようです。こうなりますと今後は- やはり md5 は署名を確認するのが正解。
考えてみれば、公開鍵を開発元の Web から得ても無意味 (サーバーを乗っ取られたり、ニセサイトに誘導されれば公開鍵もニセの物をつかまされる) なので
鍵は別途 PGP キーサーバーから取得するか、
ディストリビューションの CD に最初から含めて (それまで疑ってもしょうがない) おく。
- 上記に比べれば完全な物ではないが、 md5 値を (ミラーではない) 別のサーバーにも掲示する事で、発覚を早める効果があるかもしれない。
といった事が必要かな、と思いました。Re:今やコンパイル前の確認は必須 (スコア:0)
Re:今やコンパイル前の確認は必須 (スコア:1, 参考になる)
同じ議論は意味ねえと思うので、こちら読んで更に何かあったら、どうぞ。
# 微妙にフレームなんで読みづらいだろうが、頑張れ
クローズドソースにバックドアがあった例 (スコア:3, 参考になる)
これは漢派の危機でねえの? (スコア:0)
自力でコンパイルして設定するのだ!
という人間には生きづらい時代になりましたねえ
そりゃ署名をチェックすればいいんだろうけど
管理者がいつも必ず署名をチェックするということは
どうやって保証するのだろう?
#自分はapt-get派なのでAC
Re:これは漢派の危機でねえの? (スコア:0)
# ./configure以外はコマンドぺちぺち叩くだけだろーに
誤字訂正 (スコア: -1) (スコア:0, 余計なもの)
ですかね。
ワルい子の最新モード (スコア:0)
例えば Outlook のように「攻撃されやすいので使用を避ける」てあちこちでいわれちゃうとこまでダラダラ後手後手な対処療法的防戦やるよりは、短期集中的にリソースを集中させて世界的に『安全なソース配布』関係のインフラ整備しちゃっうべきなんでしょうな。
風邪引いたときといっしょ?
Re:ワルい子の最新モード (スコア:0)
再発GoGo! [u-tokyo.ac.jp]
メーラー変えたりって、こういうことがあってからですよね。後悔先に立たず