Linux.Slapper.Worm 17
ストーリー by wakatono
お手元のOpenSSLの確認を 部門より
お手元のOpenSSLの確認を 部門より
Anonymous Coward曰く、"本家発。Symantecによると、OpenSSLのバグに寄生する"Linux.Slapper.Worm"が登場した。このワームは、SuSe, Mandrake, RedHat, Slackware, Debianをターゲットととし、最初ヨーロッパで報告され、Apacheの脆弱性を通して広がっている。OpenSSL 0.9.6gへのアップグレードが推奨される。"
Apache-2.0.40 + OpenSSL 0.9.6g コンパイルエラー (スコア:3, 参考になる)
./configure --enable-ssl
でコンパイルするとエラーが出ます。
適当な場所に OpenSSL を ./config no-shared でインストールして Apache を ./configure --enable-ssl --with-ssl=/some/where でコンパイルすると通ります。
# readme には shared を使うな、と書いてあるが、
# Slackware-8.1 は libcrypto にリンクしまくりなもので。
Re:Apache-2.0.40 + OpenSSL 0.9.6g コンパイルエラー (スコア:2, 参考になる)
srclib/pcre/ 以下での ./dftables > chartfiles.c
server/ 以下での ./gen_test_char > test_char.h
の2つを実行しようとしてこけるかもしれません。
こける理由は、dftables と gen_test_char がlibsslとlibcryptoをリンクしていて、かつそのライブラリが実行時に見えていないためです。この2箇所の不具合を回避すれば大丈夫だと思います。
これらの実行バイナリをリンクする時に実行時のライブラリ検索パスを埋め込むようにMakefileを書き換えるか、あるいは
env LD_LIBRARY_PATH=/usr/local/lib ./dftables > chartfiles.c
というようにライブラリが見えるようにして手動実行してやれば、この不具合は回避できます。
なんでApacheかと思ったら… (スコア:2, 参考になる)
mod_sslがOpenSSLのライブラリを静的リンクしていて、共有ライブラリだけ更新しているとかありそうだと思いませんか?
いや実は自分の管理しているサーバがそうだったりしたのですが。
Re:なんでApacheかと思ったら… (スコア:1)
まあ、このワームを防ぐだけなら Apache+mod_ssl だけ作り直せばいいのですが。
鵜呑みにしてみる?
Apacheの脆弱性? (スコア:1)
Symantecの情報や本家のコメントを斜め読みする限りでは、コイツはあくまでOpenSSLのセキュリティホールを突いているので、
Re:Apacheの脆弱性? (スコア:2, 参考になる)
そもそも先月頭にはパッチが出てるんだから既に当てていて当然。今頃騒ぐやつはアホ。
このワームも BSD の OpenSSH のワームみたくすぐ絶滅してくれるかなぁ。 このスレがあまり繁昌してない事をみても、あまりそれは期待できんなぁ。 今回はターゲットに Red Hat Linux が入ってるし... あれって「WWW サーバ」を選んでインストールすると、 デフォルトで mod_ssl が動いてるんだよなぁ。 気がついてないアホも多数居ると思われ。
Re:Apacheの脆弱性? (スコア:2, すばらしい洞察)
Re:Apacheの脆弱性? (スコア:2, 興味深い)
んー、逆に一票。特に「とりあえず入れてみよう」と言う意識で立てられたサーバに意識を向ける人なんてほとんどないでしょ。Windows Updateみたいにオートなツールが最初から入ってるわけでもないし。
>まあ「多数」の程度によるでしょうが、しっかりおられる事でしょう。
んー、こういう意識がセキュリティ的には一番マズイんだよね。セキュリティに楽観論は危険しか生みません。現実世界だって、「鍵を閉めただろう」「窓を開けておいたけど、8階だから入らないだろう」と言う楽観論で空き巣に入られるケースは枚挙に暇がないですね。現実世界でもそうなのですから、楽観視は非常に危険です。
最近思うのは、ユーザのセキュリティ意識がいやでも高くならざるを得ないWindowsの方が全然安全なんじゃないかと言うこと。最後は人間の意識ですからね、システムで守れないのは某長嶋氏が証明してるし。(○コムしてますか~)そう考えると、Windowsのセキュリティの話には厨房が跋扈し、Linuxだと静かな/.Jの現状は非常にマズイと言わざるを得ないのかもしれません。
Re:Apacheの脆弱性? (スコア:1)
言われてみて思い直しました。 真実はその間にあるのではないかと。
つまり、# まあ最終的にはサポート契約も結んでいない
「最後は意識」というのは全くの御意なのですが、「最初はシステム」だと思っています。 Windows Update はシステム的には悪くないと思いますし、rpm/deb なタイプの Linux distribution にもそれっぽいのがあったはず (私の家箱は Slack/Plamo なのでどうせ全部 make するから関係なし)。# 他人の箱の心配までできるか~っ X-) てのが
# 一番の思いなのですけど、それはおいといて、
意識とシステムの間に線形な相関関係はないと思いますので、「Windows の方が全然安全」というのはまた別の意味での「楽観」ではないかと思う次第です。 というのは、「意図して Windows をサーバに使っている人は、セキュリティ情報を随時収集していて結果として安全」はありうる解でしょうが、それは意図して UNIX (互換) OS をサーバに使っている人も同じ (じゃないかなぁ、と思うんだが...世間にはインターネットサーバなら UNIX という神話でもあって、インターネット == UNIX とシナプス結合されているのだろうか?最近の世間なら Windows 上で動くフリーウェアなサーバソフトもそこそこあるんだけど...) ことでしょう。
私の周りの狭い世間を見渡してみると、おうちインターネットサーバを作るのに、使ったのことのない UNIX (互換) OS を苦労して云々、という人よりは使い慣れた Windows で適当にその辺のフリーウェアを組み合わせて、っていう人の方が多いように思うのですが。
Re:Apacheの脆弱性? (スコア:0)
既に被害にあいますた。 (スコア:0)
俺、ココに書いてある大手ISPの顧客。
実際[何者かに]DNSへの攻撃を受けて対処中、ってお知らせが来てた。
今は収まったみたいだけどね。
# このストーリーのコメント達がくだらなすぎて愕然としたAC [zdnet.co.jp]
Re:最近port22へのアクセスがいくつかある (スコア:1, 参考になる)
OpenSSL via mod_ssl with apacheへのアタックなら通常は443でしょう。
#M1行使中なのでAC
Re:最近port22へのアクセスがいくつかある (スコア:1)
なお、 トレンドマイクロ [trendmicro.co.jp]の情報には、 Apache+mod_ssl とは一言も書いてありません。その点では Symantec の解析が速かったということでしょうね。
鵜呑みにしてみる?
Re:最近port22へのアクセスがいくつかある (スコア:1)
鵜呑みにしてみる?
Re:最近port22へのアクセスがいくつかある (スコア:0)
http://isc.incidents.org/analysis.html?id=167
これをみると、最初に80/TCPで無効なGETを出して、
サーバのレスポンスヘッダからmod_sslが使われているか
どうか確認しているように見えるので、apache 1.3.12より
前と、それより後のバージョンで、