パスワードを忘れた? アカウント作成
8237 story

もじら組と namazu のサイトがクラックされる 90

ストーリー by wakatono
ここ最近なんか多いぞ… 部門より

yosshy 曰く、 "ITmedia の記事より。namazu プロジェクトの WWW/FTP/ML/CVS サーバが 5/27 にクラックされたとの事。また、先日 5/24 にはもじら組の WWW サーバがクラックされたりと、最近国内のオープンソース関連サイトが相継いでクラッキング被害に遭っている。あなたのプロジェクトのサーバは大丈夫?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Technical Type (3408) on 2004年05月28日 1時05分 (#557477)
    CVSとSubversionに重大な脆弱性 [itmedia.co.jp]がある事が判っていて、しかも 攻撃コード [k-otik.com]も出てるのに対策しなかったためにやられた、に一票。
  • もじら組、top pageのどこを見てもクラックされていましたとは書かれていませんね。なんで、まるで事実隠蔽したいがごとく言及してないんでしょう
    分かっている、公表できる範囲で逐次、
    • 影響範囲
    • 現在の状態
    • いつからいつまで改ざんされていたのか
    • 最低限侵害されていないと判明している時点
    • 手口
    を伝えていくべきだと思うんですが。
    事実をtop pageで告知し、現状を伝えているnamazuと対照的だと思います。
    --
    # rm -rf ./.
  • by Anonymous Coward on 2004年05月28日 0時23分 (#557449)
    > namazu プロジェクトの WWW/FTP/ML/CVS サーバが 5/27 にクラックされたとの事。
    表現おかしくない?
  • もじら組の方は、昨日か一昨日までは、トップにミラーサイトへのリンクを置いて、しのいでましたね。

    でも、MLアーカイブの方は現時点でも復旧していないようです。

  • by Flanker (22257) on 2004年05月28日 0時43分 (#557465)
    オフトピかもしれませんが…
    実は、ちょっと日記がらみでバグ?っていうのを追っかけていて、
    Apacheのバージョンが古いまま放置プレイっぽいのに気が付いて… orz
    こういう話はセキュリティバグ報告の方にメールですかね?やっぱ…
    --
    腐乱化…もといFlanker
    • by snitch (10903) on 2004年05月28日 1時08分 (#557479) 日記
      SF.JPのサーバの件 [srad.jp]もありますし、絶対無いとは言い切れませんが、
      DebianなのでApacheのバージョンが古いように見えるのは放置プレイの為ではないです。
      親コメント
      • でも穴があいているんだから放置プレイと同じだよ。
        アップすれば少なくとも二つはふさげるんだから。
        クラックされてから言い訳する前にできることから
        やっておくのが吉。(気づいてないんだろうけど)
        • by Anonymous Coward on 2004年05月28日 8時10分 (#557562)
          企業のお客さんに新バージョンの導入と旧バージョン+セキュリティパッチのどちらがよいか質問されることがあります。

          >でも穴があいているんだから放置プレイと同じだよ。
          >アップすれば少なくとも二つはふさげるんだから。

          セキュリティ的には同じですが、こういう自分はセキュリティ意志意識が高いと思いこんでいる勘違い部外者が「バージョン古いぞ。管理者何やってんの?」とか言い出し、それが信じられてしまうことで企業イメージを損なう潜在的なリスクがありますと答えています。
          親コメント
        • それは Debian stable がバージョン番号を上げずに bug fix していくものだ
          ということを知ったうえで「アップ」という表現を使っているのかな?

          バージョン上げればいいってもんじゃないよと言いつつ自分は FreeBSD で
          1.3.31 使ってるけどね。
        • > でも穴があいているんだから放置プレイと同じだよ。

          という事はバックポートパッチ当たってるはずなのに、二つばかし機知のセキュリティホールが残ってるよ、ってこと?
          だったらそれは、頼むから早めに編集者かsf.jpのプロジェクトページとかに連絡して欲しい。
  • 朝鮮日報の記事 [chosun.com]と関連あるのか?

    政治的背景と余り関係ないサイトなので違うとは思うけど。
    • by udon64bit (20085) on 2004年05月28日 9時26分 (#557605) 日記
      昨日の夜のニュースを見たあとなので、私も思い出しました。
      たしか、報道の内容によると、サイバーテロによる敵国軍事能力
      低下を狙っているのではないかと言っていたと思います。
      今クラックされているサイトがどこまで軍事に影響するのかは不明ですね。

      #本番に向けてテストしてるのか?
      親コメント
  • by Anonymous Coward on 2004年05月28日 8時00分 (#557555)
    MS,SB,NTT等のセキュリティ問題には激しく反応するのにオープンソース関係だと途端にやさしくなる/.って・・・
    • by jmk (11245) on 2004年05月28日 11時11分 (#557708)
      前から思うんだけど、「オープンソース関係」っていうと広すぎてアンチが生まれづらいだけなのでは。あと、 Windows は使ってる人が多いのでアンチに回る人が多いだけでしょう。
      それから、これは私見だけど、 Windows をクソミソに貶してる人は、 Windows を使ってる人にこそ多い気がする。 Linux 他 PC-UNIX 系の人は、自分のが使いにくいことを認識していてもしょーがないと思ってて攻撃に回ることはない。
      というのが人数の差に現れてるだけのことではないかな。

      別の仮説。オープンソース関係のは他人事じゃないし、自分もそれを使ってるのであれば詳細を知って対処しないといけないから、「実際どうなんだ」という論調が増え、「これだから○○はクソ」とかいったゴミみたいな意見は減る。
      # 激しくオフトピですね。すまん。
      親コメント
    • 単にアンチMS、アンチY!、アンチNTTが多いだけと思われる。まあ、貴方のようなアンチOSS(それ以外にどう取られたいか、私にはわからん)もいるにはいるけど。

      とりあえず、声が大きいから多数派とは限らない、とだけ言っておく。

      親コメント
    • 「オープンソース・ジャーナリズム」が聞いてあきれるよな。
    • まぁ、普段世話になってると言いにくいんだろうね。

      # 率直に言って何やってんだ馬鹿がと思うので AC
  • 先ほどルビーのメーリングリストに流れて来ましたが、
    今度はRuby [ruby-lang.org]がクラックされたそうです。
    原因はやはり、CVSの脆弱性をつかれたとの事
    ただ、情けない…
    ここには流れなかったようだけど、先日は日本MySQLユーザ会がクラックされたし、、言葉が無い。
    netcraft で調べてDebianを使っているところが多いと感じたが、安定性を求めてDebianを選定したとしても、管理しないんじゃ意味無いじゃん><
  • by Anonymous Coward on 2004年05月28日 0時14分 (#557446)
    生越さんのサーバ [nurs.or.jp]もついこないだクラックされますた。

    #焦ったAC
  • by Anonymous Coward on 2004年05月28日 0時18分 (#557448)
    cvshome.orgにつながらないんですが、関係ありますかね?
  • by Anonymous Coward on 2004年05月28日 0時41分 (#557462)
    人ごとじゃ無い人もいると思うのでできれば攻撃対象のセキュリティホールの詳細を希望します。

    Apache?
    CVS?
    kernel?
    どれのどこ?
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...