Solaris 10/11にtelnetログインの脆弱性 33
ストーリー by yourCat
黒点 部門より
黒点 部門より
ozuma 曰く、
SANS ISCによると、Solaris10および11において、rootを含むすべてのアカウントで認証無しにtelnet接続を許す脆弱性が発見された (slashdot.orgの記事)。telnetクライアント一つだけでリモート接続権限を得ることが出来る危険なものだ。より詳細な情報はriosec.comの記事に記述されている。
この現象は、1994年にAIXとLinuxのrloginで見つかったバグとほぼ同じものだ。
[追記 2007年2月17日00:10 JST] 修正された。
おぉ入れる (スコア:3, 参考になる)
rootさんでは、「/etc/default/login」(パーミッション444 sys:sys)の「CONSOLE=/dev/console」の設定があったので入れなかった。
Re:おぉ入れる (スコア:1)
インストールしたての状態でtelnet は動いてましたよね。
そういや11/06 からデフォルトでセキュアとか言ってたような。
Re:おぉ入れる (スコア:0)
sysで入って、chmod(644)して、中身を書き換えてから、rootでログイン。
なお、手元の環境では、「/etc/default/login」のオーナは「root:sys」なので、問題なし。
#いや、問題は問題だけど。
これはひどい (スコア:2, 興味深い)
Re:これはひどい (スコア:2, すばらしい洞察)
・一般メディアで報道されるまで管理者が脆弱性を把握していない
・今時telnetを切っていない
なんて運用はどんな脆弱性よりも怖いんですけど…
#あるんだろうけどさ、そういう所。
「よくわかってないけど口を出したがる、しかも部下を信用していないお偉方」がうるさくなりそうなので徒に不安を煽るだけな報道は避けて欲しいですね。「Solaris?よくわかんないけどテレビで危ないって言ってたよね」レベルの半可通が増えると色々厄介ですし。
WindowsやOfficeの脆弱性に関してはユーザー数が大きいのと、ユーザーが管理者を兼ねていてなおかつロクに管理されていないのが大多数で危険だから注意喚起を兼ねて報道するんでしょう。同列に語っちゃいけませんよ。
Re:これはひどい (スコア:0)
Re:これはひどい (スコア:1, すばらしい洞察)
でも、/.jですらセクションローカル
Re:これはひどい (スコア:0)
ユーザ数の大小からみてOfficeしか取り上げられないのだろうけれども。
Re:これはひどい (スコア:0)
Re:これはひどい (スコア:1, おもしろおかしい)
たぶん、一般人は関係ないはずです・・・
Re:これはひどい (スコア:0)
この脆弱性を活用すれば、rootじゃない一般人でも何とか出来そうな気がしませんか?
Re:これはひどい (スコア:0)
Re:これはひどい (スコア:0)
# Admnistrator権限をもつ一般人なら居そうだけど
Re:これはひどい (スコア:0)
直接の影響を受けるであろうサーバ管理者は、NHKでニュースやってるような時間にはマシン室に篭ってるはずなので意味ないですよ。
svcadm disable telnet (スコア:2, すばらしい洞察)
# svcadm disable telnet
なのは、基本だと思ってた。
Solarisにsshが入るようになってからは、
ある程度さらされる端末はインストール後telnet落とすよね?
Re:svcadm disable telnet (スコア:3, 参考になる)
http://blogs.sun.com/yappri/entry/secure_by_default [sun.com]
アップグレードインストールでも、netservice コマンドで変更できますし。
Re:svcadm disable telnet (スコア:2, すばらしい洞察)
IEのActiveX無効にするのが基本、セキュリティゾーンを変更するのが基本、みたいなのと同種の胡散臭いノウハウはやめようよ。
Re:svcadm disable telnet (スコア:1)
そんで、telnetすら切らないような人は管理者にふさわしくない。一般ユーザーがインストールすることなんて、元々考えてないでしょ、アレ。
てゆーか実際、今時telnetなんかより、鍵のないsshのほうがよっぽど狙われてるんだよなあ。
そういう意味(数の理論込み)ではtelnetのほうが安全かも?
Re:svcadm disable telnet (スコア:0)
例えばどんな理由で?
>telnetのほうが安全
そんなことはない。
Re:svcadm disable telnet (スコア:2, 興味深い)
例えば、複数のハードウェアに、シリアルコンソールでテケテケとインストールをやった後です。
台数が多いほど、シリアルケーブルは早く抜きたいですよね。telnetが最初から使えたら、必要な初期設定は後から一気に処理できるじゃないですか。そのためにtelnetが生きてるんじゃないの?
ってゆーか、そんな人「沢山」はいないですよね。「ほんの少し」でした。
>そんなことはない。
冗談です。
Re:svcadm disable telnet (スコア:0)
もしsshを破られた場合はパケットキャプチャでログを残しても、実行されたコードはまず分かりません。
しかし、telnetなら流れたコードの判別はできるので、サーバに対して何をされたか追うことが可能です。
telnetでログインしたサーバのログを操作して足跡を消しても、ネットワーク上でキャプチャしたデータまで
消すことはかなり困難です。
まぁ、これをするにはtelnetでログインできるユーザーの権限をガチガチに固める必要もあるし、
特権廻りには相当気をつけないとダメなので、実環境ではお勧めしませんが
Re:svcadm disable telnet (スコア:0)
結局は何されたのかわからないようにされるだけでは?
honeypotの蜜としての役目なら、これほど的確なものはないかもしれませんが、
実運環境ではちょっとね。
Re:svcadm disable telnet (スコア:1, すばらしい洞察)
これは (スコア:1, すばらしい洞察)
Re:これは (スコア:2, すばらしい洞察)
Solaris 10/11に… (スコア:0)
Re:Solaris 10/11に… (スコア:0)
# んなわきゃ~ない
Re:Solaris 10/11に… (スコア:2, おもしろおかしい)
二進数じゃなかったんですか?
Re:Solaris 10/11に… (スコア:0)
通は2000年問題の轍を踏みたがるものなのか。
Re:Solaris 10/11に… (スコア:0)
>通は2000年問題の轍を踏みたがるものなのか。
無粋を承知で・・・
Solaris10 06/06
Solaris10 11/06
・・・・
# 命名則なんだから仕方がない・・・
Re:Solaris 10/11に… (スコア:0)