パスワードを忘れた? アカウント作成
3899 story

Linux.Slapper.Worm 17

ストーリー by wakatono
お手元のOpenSSLの確認を 部門より

Anonymous Coward曰く、"本家発。Symantecによると、OpenSSLのバグに寄生する"Linux.Slapper.Worm"が登場した。このワームは、SuSe, Mandrake, RedHat, Slackware, Debianをターゲットととし、最初ヨーロッパで報告され、Apacheの脆弱性を通して広がっている。OpenSSL 0.9.6gへのアップグレードが推奨される。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by banana (10420) on 2002年09月14日 15時01分 (#165879)
    Apache-2.0.40 を OpenSSL 0.9.6g の shared library を使って
    ./configure --enable-ssl
    でコンパイルするとエラーが出ます。
    適当な場所に OpenSSL を ./config no-shared でインストールして Apache を ./configure --enable-ssl --with-ssl=/some/where でコンパイルすると通ります。

    # readme には shared を使うな、と書いてあるが、
    # Slackware-8.1 は libcrypto にリンクしまくりなもので。
    • shared libraryなopensslをapache-2.0.40に組み込もうとした場合、

      srclib/pcre/ 以下での ./dftables > chartfiles.c
      server/ 以下での ./gen_test_char > test_char.h

      の2つを実行しようとしてこけるかもしれません。

      こける理由は、dftables と gen_test_char がlibsslとlibcryptoをリンクしていて、かつそのライブラリが実行時に見えていないためです。この2箇所の不具合を回避すれば大丈夫だと思います。

      これらの実行バイナリをリンクする時に実行時のライブラリ検索パスを埋め込むようにMakefileを書き換えるか、あるいは

      env LD_LIBRARY_PATH=/usr/local/lib ./dftables > chartfiles.c

      というようにライブラリが見えるようにして手動実行してやれば、この不具合は回避できます。
      親コメント
  • by qbin (4949) on 2002年09月14日 15時04分 (#165880)
    アイコンがApacheになってOpenSSLの問題がなぜ取り上げられるのだろうと思ったら、脆弱性のあるOpenSSLを使っているmod_sslが標的の模様。
    mod_sslがOpenSSLのライブラリを静的リンクしていて、共有ライブラリだけ更新しているとかありそうだと思いませんか?
    いや実は自分の管理しているサーバがそうだったりしたのですが。
    • mod_sslがOpenSSLのライブラリを静的リンクしていて、共有ライブラリだけ更新しているとかありそうだと思いませんか?
      ありそうなので、 OpenSSL の更新の時には grep -rl OpenSSL / とでもして OpenSSL という文字列を含むファイルをリストアップする必要があるでしょう。

      まあ、このワームを防ぐだけなら Apache+mod_ssl だけ作り直せばいいのですが。
      --
      鵜呑みにしてみる?
      親コメント
  • by KENN (3839) on 2002年09月14日 16時12分 (#165902) 日記

    Symantecの情報や本家のコメントを斜め読みする限りでは、コイツはあくまでOpenSSLのセキュリティホールを突いているので、

    • OpenSSLのバージョンにのみ依存し、apacheのバージョンには依存しない。つまりapacheのバージョンが新しくても、OpenSSLのバージョンが古い場合には対象になり得る
    • OpenSSLをリンクしていないapache(つーかmod_sslか?)や、ハナからSSLが有効になってない場合には無関係
    という理解で良いでしょうか?

    • by Anonymous Coward on 2002年09月14日 17時17分 (#165923)
      OpenSSL のバグを衝いてクラッシュさせるだけなら Apache や mod_ssl のバージョンは問わないだろう。 Apache のプロセスを乗っ取ろうとする際はバージョン依存になるだろう。 mod_ssl をロードしなければ影響が無いのは言うまでもない。ていうか 443 が開いてなかったり、別のポートで動いていればワームも侵入しようがない。
      そもそも先月頭にはパッチが出てるんだから既に当てていて当然。今頃騒ぐやつはアホ。
      このワームも BSD の OpenSSH のワームみたくすぐ絶滅してくれるかなぁ。 このスレがあまり繁昌してない事をみても、あまりそれは期待できんなぁ。 今回はターゲットに Red Hat Linux が入ってるし... あれって「WWW サーバ」を選んでインストールすると、 デフォルトで mod_ssl が動いてるんだよなぁ。 気がついてないアホも多数居ると思われ。
      親コメント
      • Re:Apacheの脆弱性? (スコア:2, すばらしい洞察)

        by oku (4610) on 2002年09月14日 17時31分 (#165933) 日記
        このスレがあまり繁昌してない事をみても、あまりそれは期待できんなぁ。
        「そんなのとっくに入れ替え済み。以上」ということで繁盛していない、に一票。
        気がついてないアホも多数居ると思われ。
        まあ「多数」の程度によるでしょうが、しっかりおられる事でしょう。 そういった諸兄におかれましては、使用なさらない port は閉じてください、使用なさらないサーバは動かさないでください、以下略、としか。
        親コメント
        • by Anonymous Coward on 2002年09月15日 12時35分 (#166251)
          >「そんなのとっくに入れ替え済み。以上」ということで繁盛していない、に一票。

          んー、逆に一票。特に「とりあえず入れてみよう」と言う意識で立てられたサーバに意識を向ける人なんてほとんどないでしょ。Windows Updateみたいにオートなツールが最初から入ってるわけでもないし。

          >まあ「多数」の程度によるでしょうが、しっかりおられる事でしょう。

          んー、こういう意識がセキュリティ的には一番マズイんだよね。セキュリティに楽観論は危険しか生みません。現実世界だって、「鍵を閉めただろう」「窓を開けておいたけど、8階だから入らないだろう」と言う楽観論で空き巣に入られるケースは枚挙に暇がないですね。現実世界でもそうなのですから、楽観視は非常に危険です。

          最近思うのは、ユーザのセキュリティ意識がいやでも高くならざるを得ないWindowsの方が全然安全なんじゃないかと言うこと。最後は人間の意識ですからね、システムで守れないのは某長嶋氏が証明してるし。(○コムしてますか~)そう考えると、Windowsのセキュリティの話には厨房が跋扈し、Linuxだと静かな/.Jの現状は非常にマズイと言わざるを得ないのかもしれません。
          親コメント
          • by oku (4610) on 2002年09月15日 16時17分 (#166335) 日記
            んー、逆に一票。特に「とりあえず入れてみよう」と言う意識で立てられたサーバに意識を向ける人なんてほとんどないでしょ。

            言われてみて思い直しました。 真実はその間にあるのではないかと。

            つまり、
            • とっくに入替済の人 - 今更何を
            • 危機意識のない人 - 知らぬが仏
            で、どっちに転んでもこのストーリーは繁盛しない、と。(^^;
            >まあ「多数」の程度によるでしょうが、しっかりおられる事でしょう。

            んー、こういう意識がセキュリティ的には一番マズイんだよね。
            「こういう意識」が私の意見のどこを指しての事かイマイチ不詳 (申し訳ありません) なのでなんですが、
            セキュリティに楽観論は危険しか生みません。
            余り楽観視してはいないつもりなのですが。

            # まあ最終的にはサポート契約も結んでいない
            # 他人の箱の心配までできるか~っ X-) てのが
            # 一番の思いなのですけど、それはおいといて、

            最近思うのは、ユーザのセキュリティ意識がいやでも高くならざるを得ないWindowsの方が全然安全なんじゃないかと言うこと。最後は人間の意識ですからね、システムで守れないのは某長嶋氏が証明してるし。
            「最後は意識」というのは全くの御意なのですが、「最初はシステム」だと思っています。 Windows Update はシステム的には悪くないと思いますし、rpm/deb なタイプの Linux distribution にもそれっぽいのがあったはず (私の家箱は Slack/Plamo なのでどうせ全部 make するから関係なし)。

            意識とシステムの間に線形な相関関係はないと思いますので、「Windows の方が全然安全」というのはまた別の意味での「楽観」ではないかと思う次第です。 というのは、「意図して Windows をサーバに使っている人は、セキュリティ情報を随時収集していて結果として安全」はありうる解でしょうが、それは意図して UNIX (互換) OS をサーバに使っている人も同じ (じゃないかなぁ、と思うんだが...世間にはインターネットサーバなら UNIX という神話でもあって、インターネット == UNIX とシナプス結合されているのだろうか?最近の世間なら Windows 上で動くフリーウェアなサーバソフトもそこそこあるんだけど...) ことでしょう。

            私の周りの狭い世間を見渡してみると、おうちインターネットサーバを作るのに、使ったのことのない UNIX (互換) OS を苦労して云々、という人よりは使い慣れた Windows で適当にその辺のフリーウェアを組み合わせて、っていう人の方が多いように思うのですが。

            親コメント
        • by Anonymous Coward
          なんか全然流行ってないねぇ。 CodeRed や Nimda の時とは全くちがう。 むしろ大流行してくれたほうが商売のネタが... おっと、つい本音が。
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...