パスワードを忘れた? アカウント作成
6333 story

GNU の ftp サイトが 3月以来 crack されていた 133

ストーリー by wakatono
確認作業が大変そうだ 部門より

maho 曰く、 "http://ftp.gnu.org/MISSING-FILES.README によると、gnuftp.gnu.orgが三月以来トロイの木馬に乗っ取られており、七月の終わりの週まで crackされていたことに気づかなかったとのことです。皆様のお手持ちの GNU プロダクトは大丈夫でしょうか? (そもそもどうやってチェックするのでしょう?)"

サマリには、8/2からチェックサムの再生成中とあるとのことだ。しかし大変なのが、その間に入手したアーカイブ類のチェック。…どうしよう…

追記 by W:掲載した直後にbrake-handleからもタレコミがあった。内容が参考になるので掲載する。

"GNUの発表によると、GNUのFTPサーバgnuftp.gnu.orgが今年3月に攻撃を受け、rootが乗っとられていたことが7月末の週に明らかになった。乗っとり手口は、同じく3月に発見された、ptrace(2)のセキュリティホール経由と見られている。乗っとられた計算機にはトロイの木馬が仕掛けられており、パスワードの収集および踏台としての利用を狙っていた模様。

このroot乗っ取りを受け、8月2日(米東部時刻)にgnuftp.gnu.orgの計算機が交換された。また、配布されているファイルに対するmd5 checksumの安全確認結果およびchecksum未確認ファイルが公表されている。さらに、配布ファイルの安全確認作業が終了するまで、gnuftp.gnu.orgへのシェルアクセスは停止されている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 雑訳 (スコア:5, 参考になる)

    by Anonymous Coward on 2003年08月14日 13時40分 (#378763)
    ・GNUのソース配るためのgnuftpってマシンが[Linuxカーネルのptraceにおけるローカルexploit]でroot権限もってかれ、トロイ仕込まれてますた。代わりのマシンを用意して入れ替えたよ。exploitが公開されてからパッチが出来るまでの一週間の間にヤラれちゃったんだよう、許してよう
    ・どうもログとか見るに、GNUのソースは無傷ぽい。けどそれだけじゃあ安心するに足るものにはならんので、一個一個安全性を確認してますた。二週間もかかっちゃった、てへ
    ・http://ftp.gnu.org/MISSING-FILESにあるのは、まだ安全性の確認できてないパケジのリスト。メンテナに確認作業をお願いしてるところ。不安なところは一片たりとも残したくないんで、この確認作業中のものはgnuftpには上げてないんだ、ごめんね

    ....おおまかに、こんな感じ?
    間違ってたら添削お願い。
  • by Anonymous Coward on 2003年08月14日 11時33分 (#378666)
    この話って今年3月初めにGNUFTPがクラックされて、そのこと自体は7月末には判明してたんだよね。
    そして、8/2からPGPの再生成して8/14現在GNUFTPのPGPチェックサムリストを見るとのほとんどの再生成が終わってると。

    で、/.-Jで話題になったのが8/14。
    どっかほかのところでは情報が流れてたの?
    それとも、さすがのGNUでもこういう情報は都合がよくなるまでは非公開?

    #GNUFTPの運営にならって都合がよくなるまでAC
    • by Anonymous Coward on 2003年08月14日 11時49分 (#378679)
      CERT Advisory (CA-2003-21) [cert.org]が出ているのだが、それも昨日(8/13)の事。

      知らなかった人がほとんどだと思われ。
      親コメント
    • おいらの日記にも書いてますが、gcc-ml には8/3の時点でそれっぽいのが流れておりました。

      gcc-mlでは特にその記述に対して「おいおいまじかよ!」みたいなリプライがなかったため、私は「なんだ既に世間では広く知られてることだったのか。そのわりになんでどこでも話題にならなかったんだろう」などと思っておりました。

      参考 gcc-ml の GCC Release Status (2003-08-03) [gnu.org]とかおいらの日記1 [srad.jp]とか同2 [srad.jp]

      --
      -- Takehiro TOMINAGA // may the source be with you!
      親コメント
      • gcc-mlでは特にその記述に対して「おいおいまじかよ!」みたいなリプライがなかった
        セキュリティ関連のメーリングリストでないと、
        セキュリティ上重要な情報が流れていても反応が少ないことが割とあるように思います。

        結局、「セキュリティに関心のある人」は一部で、それ以外は
        「セキュリティに関心のない普通の人」なのかなぁ……というのが、
        近頃ぼくが受けている印象です。

        ま、これはこれで一面的な印象で、本当は世の中そんなに単純ではないのでしょうけど。

        // gcc-ml は取っていません。
        --
        鵜呑みにしてみる?
        親コメント
    • by Anonymous Coward on 2003年08月14日 11時38分 (#378669)
      MISSING-FILES.README 13-Aug-2003 19:05 4k
      はヒントにはならんか。更新されちゃったら分からんもんな。

      しかしお粗末。
      八月入ってからここからファイル落とした人は騙された事になる。
      そもそも三ヶ月間も気付かなかったことに加え、配布サーバのカーネルパッチを当て損ねてたってのはお笑い種にしかならない。
      親コメント
      • > 配布サーバのカーネルパッチを当て損ねてた

        http://ftp.gnu.org/MISSING-FILES.READMEを見るに、どうもptraceのexploitが公表されてからパッチが出るまでの一週間の間にヤラれたっぽい、って書いてあるみたいだけど。
  • by brake-handle (5065) on 2003年08月14日 15時37分 (#378836)

    GNUでは再発防止策として、8月1日以降全てのソフトウェアリリースに対し、リリース作成者のGPG署名付checksumをつけるようにしています。

    All releases after the 2003-08-01 date will have checksums GPG-signed by the GNU maintainer who prepared the release. This assures automatic certification of the integrity of all GNU source from that date onward.

    これはこれでよろしいのですが、GNUが(署名の出所, ソフトウェアの名前)の対を確認させてくれるとなお確実なのでは。署名の出所をGNUが確認しないと、誰かが勝手に自分の署名で乗っ取られたソフトウェアをリリースしてしまう恐れがあります。また、ソフトウェアの名前を署名の出所に対応させておかないと、署名をGNUに届出た人物が勝手に他人のソフトウェアを(自分が全く手をつけていないソフトウェアの名前で)リリースできてしまいます。

    ソフトウェアの名前を持ち出すのは、GNUに信頼された人物による悪さに対抗するための対策です。今回の事件が純粋にlocal exploitであるならば(remote exploitを全く踏台にしていない)、gnuftpにアカウントを持っている人物といえども信頼できなくなってしまいます。どのような情報が信頼できるかを見極めるためにも、手口や犯人を含めた事件の全容解明が望まれます。

  • これを好機に (スコア:4, すばらしい洞察)

    提案させてほしい。GNUプロジェクトが、私も含め皆さんに、ふだんから貢献してくれてる、と思うから。
    • 逆に皆さんから、GNUプロジェクトやFSFにたいして、何か貢献してあげられることがあるかどうか考え、もしあれば、それを実行してみてはいただけまいか
    • 皆さんのうちフリーソフトウェアの作者の方へ、もし可能であれば、今後の配布物件には署名をつけることをご検討いただけまいか
    • クラックに腹が立ったら、GNUのFTPサーバー管理者にではなく、クラッカーにぶつけてはいただけまいか
    --
    ??iida
    • Re:これを好機に (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年08月14日 17時55分 (#378966)
      フリーソフトウェア作者ではないが、FSFには小額ながら寄付もしている。しかし、

      >クラックに腹が立ったら、GNUのFTPサーバー管理者にではなく、
      >クラッカーにぶつけてはいただけまいか

      には賛成できない。甘ったれるなといいたい。
      それは別にGNUだろうが他の企業だろうが同じことだろう。
      親コメント
  • うぎゃぁ (スコア:2, 興味深い)

    by frea (6286) on 2003年08月14日 11時46分 (#378677)
    未確認ファイルの中に
    > gnu/emacs/emacs-21.3.tar.gz
    > gnu/glibc/glibc-2.3.2.tar.gz
    などというものが…

    影響範囲、でかそう…

    RedHat とかの distro モノは大丈夫なんでしょうか?
    • by Anonymous Coward
      MD5でチェック済みのものに関しても、トロイの木馬入りを置いて、ダウンロード
      された後に再度オリジナルに戻されていたとしたら安全であるとは言えないですね。

      完全な安全を確保したいなら、該当期間にダウンロードした覚えのある人は、
      自分でチェックするか、Makeし直しするほかないかも。
  • by pan-cha (3174) on 2003年08月15日 14時21分 (#379405)
    GNUだのMSだの色々話には出ているようですが、
    いわゆる一般?ユーザが求めているのは、便利に安全に使用できるツールじゃないでしょうか?

    皆さんなんだかんだいって、MSのソフトも使ってるし、GNUのツールも使ってるし、
    いろいろ使ってませんか?
    ソフトウェアにバグ・セキュリティホールがあるのは仕方が無いことですし、
    だからこそ配布をする側にはきちんとした対応(情報提供・迅速なパッチ配布)をしてほしいですし、
    ユーザ側も、情報をチェックして自衛することが大切じゃないでしょうか?

    商用だろうとオープンソースだろうと、配布したからには責任があると思うし、
    使用者だって自分が使っているものが正常かどうかの確認ぐらいしたほうがいいじゃないですか。
    (管理者と呼ばれる人ならばもっとやることはたくさんありますが。。)

    そういう意味で、今回のGNUの対応は残念な気がしました。。。
  • 俺全然詳しくないけど、例のセキュリティーホールって、リモートからは無理でローカールだけ弱いんだよね。
    どうやって乗っ取ったのだろう?
    ftpサーバーのTELNETポートとかが開いているの?

    パッチ当て忘れているのも問題だけど、一般人に公開しなくても良い奴まで晒しているのだろうか?
    • by brake-handle (5065) on 2003年08月14日 14時04分 (#378777)

      GNUの発表 [gnu.org]の終りの方に、

      Local shell access to the FTP server for GNU maintainers has been withdrawn pending completion of our certification activities.

      とあります。逆にいえば、発覚前まではシェルアクセスを提供していたのでしょう。

      どちらかというと、なぜFTPサーバでシェルアクセスを提供していたのかという方が疑問。特にパスワード収集のために狙われたとなると、GNUがgnuftp.gnu.orgでのソフトウェア配布を認めた作者に安易にシェルアクセスを与えてしまっていたのかなぁ。

      親コメント
      • by Anonymous Coward on 2003年08月14日 14時57分 (#378812)
        info su とすると GNU のセキュリティに対する甘さがわかるのでは?
        親コメント
      • タレコミ文の終わりには

        >さらに、配布ファイルの安全確認作業が終了するまで、>gnuftp.gnu.orgへのシェルアクセスは停止されている。"

        と書かれている。数ヵ月後には開放されるのだろうね。
        今まで与えていただけでなく、あくまでも一時閉鎖であって、これからも与えるのだろう。
        「安易に」という言葉が俺の考えとピタリと一致する。
        懲りずになんでこれからも与えるのだろうね。

        推測に過ぎないが、発覚が4,5ヶ月も遅れた理由の一つには、シェルが開放されていたことも含まれているはず。
        親コメント
  • by Anonymous Coward on 2003年08月14日 10時43分 (#378634)
    Linuxディストリビュータが、ウイルス配ってる可能性もあるわけ? ガクガクブルブル。
  • by Anonymous Coward on 2003年08月14日 12時27分 (#378705)
    今のフリーOSブームを支えていたのが、ほかならぬGNUだったわけで、そのGNUがこのようなことをしでかしてしまう、というのは、ちょっとショックです。M$の良いFUDの材料にもなりかねないわけで、今後は、それこそ二度と起さないで欲しいです。

    それから、コンサルをしているストールマンがついていながら、なぜこのようなことが起こったのでしょう。そちらのほうが、気になります。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...