yooseeによる
2003年11月22日 6時56分の掲載
悲しいけど、これって現実なのよね部門より。
悲しいけど、これって現実なのよね部門より。
debian-announse-jp に正式にアナウンスされたところによると、
Debian Project の保有する複数の Debian サーバーが過去 24 時間以内にセキュリティ侵害されていたことが発覚している。
ただし、アーカイブはこの侵害を受けていない(特に security archive に関しては信頼できるソースとの厳しい検査を実施した上で再公開予定)。
現在、この侵害による影響を受けていると判明しているのは以下のサーバ
また Debian GNU/Linux の次のリリースポイント 3.0r2 に関しては、セキュリティ侵害を受けていないことは分かっているが、リリース自体は延期する事が決定している。
詳しくは debian.org の WebSite を参照のこと。 /. 本家、セキュリティホールmemoにも記事がある。
- master (バグ追跡システム)
- murphy (メーリングリスト)
- gluck (Web、CVS)
- klecker (security、non-US、Web検索、WWW マスター)
また Debian GNU/Linux の次のリリースポイント 3.0r2 に関しては、セキュリティ侵害を受けていないことは分かっているが、リリース自体は延期する事が決定している。
詳しくは debian.org の WebSite を参照のこと。 /. 本家、セキュリティホールmemoにも記事がある。
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
|
|
日本語の詳細な情報を (スコア:3, 興味深い)
日本語で書かれた詳細な情報が必要かと。
でないと、
「最新版にバッファオーバフローのバグが入っていた」
「インストール直後のデフォルト設定が甘く、運用もそのままだった」
「バグ入りの古いバージョンをそのまま使っていた」
など、ソフトそれ自体の問題なのか設定の問題なのか
運用の問題なのか、区別できずに混乱しそうです。
どうやって確認する? (スコア:2, 興味深い)
上記を,外部の人間はどのようにすれば確認できるのでしょうか? 声明だけだと,信じる・信じないの不毛な議論になりそうな気がします.
Koichi
Re:どうやって確認する? (スコア:5, 参考になる)
今回は、.dsc, .changesの電子署名を全て検証して、アーカイブのファイルのmd5sumがその中に記録されている値と同一かチェックされました。
このチェックはその気になれば外部の人間でもできます。
親コメント
Re:どうやって確認する? (スコア:4, 参考になる)
一度も署名確認失敗したこと無いのでアレですけど、apt-get で取ってくるものは自動で署名を検証するようになっているはずなので、心配はいらないでしょう。また報告メールの署名で、この報告がかなりの確率で本人の物であろうと判断できます。
情報源のMailing listを落としているのが痛いですね。 脆弱性がソフトウェアに有ったのか、運用体制に有ったのかが未だに分からない。
親コメント
apt-get updateできない? (スコア:2, 興味深い)
関係あるの?
複数やられたの? (スコア:2, 興味深い)
・共通の脆弱性を利用されてヤラれた
・いずれにも入っているアカウントを乗っ取られた
・内部の犯行
・その他
はうまっち。
Re:複数やられたの? (スコア:5, すばらしい洞察)
ログイン先のマシンがクラックされていたら、そのマシン用のパスワードがばれて、同じパスワードを使っているマシンが芋づる式にやられますが、キーペア方式なら秘密鍵がばれることはありません。
ログイン元のマシンがクラックされた場合は、キーロガーを仕掛けられたりその他の方法で、パスワードも秘密鍵もダメでしょう。
最も守るべきなのは手元のマシンなのです。
今回の事件でもcompromisedなマシンにあるアーカイブの署名が確認されて大丈夫だということですが、そのアーカイブに対して署名が「行われた」マシンが無事あることが暗黙の了解なのです。
パスワードをマシンごとに変えるのは多くの知的資源を要します。公開鍵をマシンごとに変える場合もパスフレーズをいっしょにしてしまうとあんまり意味ありません。
手元のマシンがクラックされるかもしれない、ということに対する対処としては、「マシンごとにパスワードを変える」と「どのマシンも同じ公開鍵」とでは本質的な違いはないと思います。
親コメント
あちゃー (スコア:1, 興味深い)
単にLinuxを利用しているサーバを攻撃するとかいうのではなく
あきらかに、広い意味でLinux利用者を困らせようとしてますね。
何らかの私怨が絡んでるのか、政治的(企業的)意図がからんでるのか
偶然なのかはわかりませんが、先日のLinuxのダウンロード専用CVSツリーへの攻撃も考えると何らかの意図があって攻撃してるのではないかと考えてしまいます。
企業ベースのディストリビューションではなく
ほぼボランティアベースのDebianを狙ったのは
単に訴えられなさそう、もしくは裁判費用出せなさそうだから とかいうノリなんですかね。
何にせよ、これからの動き次第ですね。Debianは経験も実績もあるので今まで信頼してきましたが、今回の件を受けての采配を見て今後も信頼できるかどうか判断したいところです。
#攻撃されただけでは信頼に値するかの判断にはならないですね
#ある程度知名度の高いサーバになるとセキュリティ侵害に繋るような事は日常茶飯事ですし、それしきの事で疑っていては何処も信用できなくなります
Re:あちゃー (スコア:2, 興味深い)
増えたのは成功した攻撃に関する発表(もしくは報道)です。
親コメント
debian 3.0r2 released (スコア:1)
今日付で、debianのunstable [debian.org]がupdateされました。 セキュリティアップデートがメインです。Webサイトには、その他に件の報告 [debian.org]も載りました。
#未だに原因は分からないけどな。
Linuxにはじゃなくて (スコア:3, すばらしい洞察)
バグの無いプログラムと同様に、
使っている限りありえないのではないかと…
それよりは運用・管理の方が大事なわけで。
24時間以内に異常を検知して対応しているんだし、
問題無いと思える範囲内ではないかと思います。
信頼できる比較元なんて残ってないよ…とか
再公開後のモノに改変されたものが…とか
だったら、運用・管理でアレって言われそうですが。
#2つ目のが本当にあったら洒落にならんなぁ~
#かといって自分で確認できるほどのスキルも無いし。
親コメント
Re:詳しくは debian.org の WebSiteを参照のこと (スコア:1, 参考になる)
親コメント
Re:compromised? (スコア:2, 参考になる)
親コメント
Re:分散サーバ群による多数決 (スコア:1)
親コメント
Re:要約すると (スコア:1, 参考になる)
Linuxにはセキュリティ面で問題があった
というのは
ソフトウェアの不具合なのか
人為的ミスなのか
どちらであるか定かじゃない
まあ
「Linuxは危いよ!セキュアじゃないよ!Windows使おうよ!!」
ってな具合に必死なんだろうけど。
親コメント