複数の Debian Project マシンへのセキュリティ侵害 (compromise) 72
ストーリー by yoosee
悲しいけど、これって現実なのよね 部門より
悲しいけど、これって現実なのよね 部門より
debian-announse-jp に正式にアナウンスされたところによると、
Debian Project の保有する複数の Debian サーバーが過去 24 時間以内にセキュリティ侵害されていたことが発覚している。
ただし、アーカイブはこの侵害を受けていない(特に security archive に関しては信頼できるソースとの厳しい検査を実施した上で再公開予定)。
現在、この侵害による影響を受けていると判明しているのは以下のサーバ
また Debian GNU/Linux の次のリリースポイント 3.0r2 に関しては、セキュリティ侵害を受けていないことは分かっているが、リリース自体は延期する事が決定している。
詳しくは debian.org の WebSite を参照のこと。 /. 本家、セキュリティホールmemoにも記事がある。
- master (バグ追跡システム)
- murphy (メーリングリスト)
- gluck (Web、CVS)
- klecker (security、non-US、Web検索、WWW マスター)
また Debian GNU/Linux の次のリリースポイント 3.0r2 に関しては、セキュリティ侵害を受けていないことは分かっているが、リリース自体は延期する事が決定している。
詳しくは debian.org の WebSite を参照のこと。 /. 本家、セキュリティホールmemoにも記事がある。
日本語の詳細な情報を (スコア:3, 興味深い)
日本語で書かれた詳細な情報が必要かと。
でないと、
「最新版にバッファオーバフローのバグが入っていた」
「インストール直後のデフォルト設定が甘く、運用もそのままだった」
「バグ入りの古いバージョンをそのまま使っていた」
など、ソフトそれ自体の問題なのか設定の問題なのか
運用の問題なのか、区別できずに混乱しそうです。
Re:日本語の詳細な情報を (スコア:0)
どうやって確認する? (スコア:2, 興味深い)
上記を,外部の人間はどのようにすれば確認できるのでしょうか? 声明だけだと,信じる・信じないの不毛な議論になりそうな気がします.
Koichi
Re:どうやって確認する? (スコア:5, 参考になる)
今回は、.dsc, .changesの電子署名を全て検証して、アーカイブのファイルのmd5sumがその中に記録されている値と同一かチェックされました。
このチェックはその気になれば外部の人間でもできます。
Re:どうやって確認する? (スコア:4, 参考になる)
一度も署名確認失敗したこと無いのでアレですけど、apt-get で取ってくるものは自動で署名を検証するようになっているはずなので、心配はいらないでしょう。また報告メールの署名で、この報告がかなりの確率で本人の物であろうと判断できます。
情報源のMailing listを落としているのが痛いですね。 脆弱性がソフトウェアに有ったのか、運用体制に有ったのかが未だに分からない。
Re:どうやって確認する? (スコア:0)
ソースを読めば問題のあるコードが含まれていないかわかります。というのがオープンソースのメリットらしいです。
apt-get updateできない? (スコア:2, 興味深い)
関係あるの?
Re:apt-get updateできない? (スコア:0)
apt-get updateとかしてみたくないと感じるわけだが。
Re:apt-get updateできない? (スコア:0)
俺は昨日apt-getしたらエラーが出たので、何かあるなと思ったら、こういう話だった。
複数やられたの? (スコア:2, 興味深い)
・共通の脆弱性を利用されてヤラれた
・いずれにも入っているアカウントを乗っ取られた
・内部の犯行
・その他
はうまっち。
Re:複数やられたの? (スコア:1)
普通 こういうところで使う場合IDが同じでもマシンごとにpasswordは変えるもんだと思うのですが そうでなかったってことになっちゃいますね
それどころか 結構前に流行った hosts.equivとか .rhostsとかを使った渡り歩きだったりしたら 目もあてられない状態になっちゃいます
なのでこれ以外であることを希望します! ってことで『共通の脆弱性』に50カノッサ
…でも「その他」ってある意味ワイルドカードだよなぁ
Re:複数やられたの? (スコア:1)
複数のホストにアカウントを持っている人の秘密鍵が盗まれて、破られたのかも知れません。
用心深い管理者ならsshでもパスワード認証ではなく、公開鍵暗号による認証を使うはずですから。
#そういえばパスワード認証をしないように設定してもパスワード認証を受け付けてしまうバグはもうなおったのかな。
Re:複数やられたの? (スコア:1)
そうですね.
# 僕のかけは分が悪くなってきちゃいました
何にしても system上の脆弱性なのか 人為的脆弱性なのか早いとこ知りたいところです
Re:複数やられたの? (スコア:1)
これなら、秘密鍵のパスフレーズを解読する前から踏み台にされてしまいます。
# rm -rf ./.
Re:複数やられたの? (スコア:5, すばらしい洞察)
ログイン先のマシンがクラックされていたら、そのマシン用のパスワードがばれて、同じパスワードを使っているマシンが芋づる式にやられますが、キーペア方式なら秘密鍵がばれることはありません。
ログイン元のマシンがクラックされた場合は、キーロガーを仕掛けられたりその他の方法で、パスワードも秘密鍵もダメでしょう。
最も守るべきなのは手元のマシンなのです。
今回の事件でもcompromisedなマシンにあるアーカイブの署名が確認されて大丈夫だということですが、そのアーカイブに対して署名が「行われた」マシンが無事あることが暗黙の了解なのです。
パスワードをマシンごとに変えるのは多くの知的資源を要します。公開鍵をマシンごとに変える場合もパスフレーズをいっしょにしてしまうとあんまり意味ありません。
手元のマシンがクラックされるかもしれない、ということに対する対処としては、「マシンごとにパスワードを変える」と「どのマシンも同じ公開鍵」とでは本質的な違いはないと思います。
あちゃー (スコア:1, 興味深い)
単にLinuxを利用しているサーバを攻撃するとかいうのではなく
あきらかに、広い意味でLinux利用者を困らせようとしてますね。
何らかの私怨が絡んでるのか、政治的(企業的)意図がからんでるのか
偶然なのかはわかりませんが、先日のLinuxのダウンロード専用CVSツリーへの攻撃も考えると何らかの意図があって攻撃してるのではないかと考えてしまいます。
企業ベースのディストリビューションではなく
ほぼボランティアベースのDebianを狙ったのは
単に訴えられなさそう、もしくは裁判費用出せなさそうだから とかいうノリなんですかね。
何にせよ、これからの動き次第ですね。Debianは経験も実績もあるので今まで信頼してきましたが、今回の件を受けての采配を見て今後も信頼できるかどうか判断したいところです。
#攻撃されただけでは信頼に値するかの判断にはならないですね
#ある程度知名度の高いサーバになるとセキュリティ侵害に繋るような事は日常茶飯事ですし、それしきの事で疑っていては何処も信用できなくなります
Re:あちゃー (スコア:2, 興味深い)
増えたのは成功した攻撃に関する発表(もしくは報道)です。
Re:あちゃー (スコア:0)
>単にLinuxを利用しているサーバを攻撃するとかいうのではなく
>あきらかに、広い意味でLinux利用者を困らせようとしてますね。
>何らかの私怨が絡んでるのか、政治的(企業的)意図がからんでるのか
>偶然なのかはわかりませんが、先日のLinuxのダウンロード専用CVS
>ツリーへの攻撃も考えると何ら
Re:あちゃー (スコア:1, おもしろおかしい)
debian 3.0r2 released (スコア:1)
今日付で、debianのunstable [debian.org]がupdateされました。 セキュリティアップデートがメインです。Webサイトには、その他に件の報告 [debian.org]も載りました。
#未だに原因は分からないけどな。
compromised? (スコア:0)
Re:compromised? (スコア:2, 参考になる)
Re:compromised? (スコア:1, 参考になる)
それは「妥協」の説明なのでは? もっと直接的に compromise には「危険にさらす」といった意味があります。
「セキュリティ侵害」という言葉はよく使われているけど、日本語として何を意味するのかわかりにくいですね。
Re:compromised? (スコア:0)
先ほどあげた意味が安全性の文脈で使われれば、おっしゃるように「危険にさらす」という意味になります。com
Re:compromised? (スコア:0)
Re:compromised? (スコア:0)
Crackされたかどうかは、依然不明ということで。(ないと思われると楽観的発表はありますが、あくまで確認中)
Re:compromised? (スコア:0)
Hacker/Cracker論争ではないけれど まず言葉の定義をした方がいいと思う
人によっては上記を同一のものとしてみなすかもしれないし
ACスレなのでAC
Re:compromised? (スコア:1, 参考になる)
security compromise
(I) A security violation in which a system resource is exposed, or
is potentially exposed, to unauthorized access. (See: data
compromise, violation.)
日本語訳 [ipa.go.jp]
security compromise (セキュリティ暴露)
(I) セキュリティ侵害の 1つ。ここで、システム資源が、不正(無権限)
アクセスに対して露出されるか、あるいは、潜在的に露出される。
(data compromise, violation 参照。)
と定義されているので、少なくとも、不正行為が可能かそれに近い状態には
なっていたんじゃないかと思います。
ちなみに、hackerやcrackerもこのRFCで定義されています。
Re:compromised? (スコア:0)
訳文でなにか限定的なニュアンス出しちゃまずいでしょう。
そういう意味で、適切な訳だと思うよ。
Re:compromised? (スコア:1)
それとおんなじにとってよいのかなと感じました。
こんなかんじ [google.co.jp]で。
要約すると (スコア:0, おもしろおかしい)
Linuxにはじゃなくて (スコア:3, すばらしい洞察)
バグの無いプログラムと同様に、
使っている限りありえないのではないかと…
それよりは運用・管理の方が大事なわけで。
24時間以内に異常を検知して対応しているんだし、
問題無いと思える範囲内ではないかと思います。
信頼できる比較元なんて残ってないよ…とか
再公開後のモノに改変されたものが…とか
だったら、運用・管理でアレって言われそうですが。
#2つ目のが本当にあったら洒落にならんなぁ~
#かといって自分で確認できるほどのスキルも無いし。
Re:Linuxにはじゃなくて (スコア:1, 興味深い)
周知で修正済みのはずなセキュリティホールをつかれたのなら、いくら早い検知・対処が
できたとしても完璧な運用体制とは言えないのでないでしょうか?
称賛の声を上げるには、まだ時期尚早かと思います。
# 普通こういうのは原因を書くものだと思うんだけど、書かないってことは調査中?
# それならそうと書いて欲しいもんだ。
おっしゃるとうりで… (スコア:1)
わかっていても、どっかに油断や見落としって
あるものですし。
今後の報告に期待したいところです。
Re:要約すると (スコア:1, 参考になる)
Linuxにはセキュリティ面で問題があった
というのは
ソフトウェアの不具合なのか
人為的ミスなのか
どちらであるか定かじゃない
まあ
「Linuxは危いよ!セキュアじゃないよ!Windows使おうよ!!」
ってな具合に必死なんだろうけど。
Re:要約すると (スコア:1)
> とかいって泣いてますね。
> これも被害妄想ですな。
とはいえ、現実にセキュリティ上での脆弱性が見つかったと思われる状況で「むしろ安心 [srad.jp]」なんていうコメントが述べられるくらいですからね。あながち、妄想ともいえないような。
Re:要約すると (スコア:0)
とらえかたの問題だろうが、俺はむしろ安心してる。
Re:要約すると (スコア:0)
過去形にする必要もない。今でも問題は確実にある。
ただ、今回はそれがいくつか発見されただけ。
問題はまだ、確実に残っている。すべてのソフトウェアがそうであるように。
Re:要約すると (スコア:0)
それにして
Re:要約すると (スコア:0)
それは事実の陳述としては正しいけど、 今回の事態の要約としては不適切ですね。
ということで、よろしくありません。
詳しくは debian.org の WebSiteを参照のこと (スコア:0)
ちょっと探しても見つけられないのですが。
#search.debian.orgは落としてるっぽいし
Re:詳しくは debian.org の WebSiteを参照のこと (スコア:1, 参考になる)
Re:詳しくは debian.org の WebSiteを参照のこと (スコア:0)
げっ (スコア:0)
既に利用中の身にとっては、ここらのサーバが弄られるのは嫌ですね。
それにしても、どーやって侵入したのでしょうか。
GNUのサーバも稚拙な原因でしたが、なんちゃって管理者でないはずの
本家とかのサーバがヤラレるってどーよ。
しかし、Woodyに関しては簡単にチェック出来ても、
sidとかは面倒ですね、1週間ほど古くなっても
いっそスナップショットから戻した方が安全なのでは?
とか思うけど・・・。どーなんだろ。
分散サーバ群による多数決 (スコア:0)
で、サーバは各種様々なOS等で構成するとか・・。
いっそ、P2Pとか・・。
でも、マスターサーバがやられたら終りか。
Re:分散サーバ群による多数決 (スコア:1)
Re:分散サーバ群による多数決 (スコア:1, 参考になる)
Re:分散サーバ群による多数決 (スコア:1)
Re:分散サーバ群による多数決 (スコア:0)
Re:分散サーバ群による多数決 (スコア:0)