今度はRuby・・・ruby-lang.orgクラックされる

今度はRuby・・・ruby-lang.orgクラックされる 75

ストーリー by wakatono 2004年05月30日 3時47分
次もあるかも… 部門より

nisi 曰く、 "Matzにっき、アナウンスによると、helium.ruby-lang.org（WWW、FTP、CVS）がクラックされたとのこと。また、namazu プロジェクトと同様に CVSの脆弱性によるものだそうです。・・・大手が続いていますね。"

ほぼ復旧は終わっているようだが、関係者の方々にはおつかれさまですと言いたい…。何度も書いたことだが、他のプロジェクトも要チェック。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索75コメント Log In/Create an Account

自動停止 (スコア:2, 興味深い)

by Anonymous Coward on 2004年05月30日 8時16分 (#558798)

remotely exploitableな脆弱性が発表されたら該当のサービスを
自動的に停止する、みたいなシステムは出来ないですかね。
多少不便にはなるけど危険なまま運用するよりはマシな気がするし。
- あります (スコア:2, 興味深い)
  
  by yosshy (3545) on 2004年05月30日 10時33分 (#558820) 日記
  
  ISABS [osdn.jp]
  昨年作って一回もバージョンアップしていませんが。
  
  シェア
  
  親コメント
Anonymous CVSって必要？ (スコア:1, 興味深い)

by Anonymous Coward on 2004年05月31日 9時28分 (#559278)

少なくとも今回はpserver経由の脆弱性だったんで、Anonymous CVSを止めてれば問題なかったんじゃないですかね？確かcommiterはssh経由でアクセスしてるはずだし。

rubyは定期的に最新のソース全体をアーカイブしたsnapshotを公開しているのでAnonymous CVSの必要性は低いし、CVSupやcvswebなどほかの手段でのアクセスも可能なので、いっそAnonymous CVS自体を止めちゃっても良いような気がしますが。

まぁ、CVSの他の部分やCVSupにセキュリティホールが無いという保証は無いんで、今頃こんなこと言っても後の祭りな訳ですけどね。
- - Re:Anonymous CVSって必要？ (スコア:1)
    
    by wtnabe (16084) on 2004年05月31日 16時11分 (#559660) 日記
    
    ローカルにリポジトリを作ればよくないすか？
    
    いや面倒だと思いますけどね。
    
    シェア
    
    親コメント
予想 (スコア:0)

by Anonymous Coward on 2004年05月30日 4時04分 (#558779)

apt-getでCVSを更新して安心していたが、
chrootしていた [ruby-lang.org]ディレクトリ下に置いたCVSを更新し忘れていた。

とか?
おつかれさま? (スコア:0)

by Anonymous Coward on 2004年05月30日 9時14分 (#558801)

Matz氏も日記に書いてるけど、「迂闊でしたね」って感じですね。
- Re:おつかれさま? (スコア:3, 興味深い)
  
  by tyuu (9154) on 2004年05月30日 10時59分 (#558829) ホームページ日記
  
  CVSにリモートから任意のコードを実行されるおそれのある脆弱性 [srad.jp] をつかれたとなると、
  対応の遅さが気になりますね。
  
  Ruby,mozilla,namazu と大手ほど、対応していないのか、
  それとも、大手でも対応できないのか。
  
  オープンソースの大御所として、
  彼等には、小さなプロダクトの手本となっていただきたい。
  
  # 「ボランタリーな団体には、サーバの保守なんて無理なんだよ。」
  # とか、どっかの商用プロダクトに言わる事がないように
  # がんばって下さい。
  
  シェア
  
  親コメント
  - Re:おつかれさま? (スコア:2, 参考になる)
    
    by Anonymous Coward on 2004年05月30日 12時45分 (#558871)
    
    CVS穴が発見された頃、どこのFTPサーバもFedora Core 2 の公開で満員状態だった。俺はなんとかして海外のミラーを見付けて数時間かけてダウンロードしたが、 cronか何かにまかせているとエラーに気付かず更新が出来なかったかも。いつもこのダウンロード祭りの時期に重大なセキュリティホールが発見されるとまずいなぁと思うのだが、今回はその心配が現実になってしまったのかも。今後はISOイメージはBitTorrent等のP2Pだけで公開すべきだと思う。
    
    シェア
    
    親コメント
    - Re:おつかれさま? (スコア:0)
      
      by Anonymous Coward
      
      FTPサーバの込み具合と脆弱性への対処にどういう関係があるのでしょう？
      - Re:おつかれさま? (スコア:0)
        
        by Anonymous Coward
        
        回線が混雑して、アップデートパッチが手に入らないのでしょ?
        
        Re:おつかれさま? (スコア:3, すばらしい洞察)
        
        by ryouki7000 (10944) <{ryouki7000} {at} {gmail.com}> on 2004年05月30日 21時43分 (#559055) 日記
        
        > 回線が混雑して、アップデートパッチが手に入らないのでしょ?
        
        言い訳にもなりゃしないと思うけどなあ。CVS止めれば済む話だし。
        
        CVSの脆弱性の重要度をきちんと認識し、パッチを手に入れようとしたが回線混雑で手に入れられない、という現状認識がきちんと出来ていたのであれば、まずCVSを止めて、開発参加してる連中とかに[CVSパッチ落としきれないんで対処できるまで止めるね、ごめん]って連絡する、みたいな対処を行うはず。
        
        そんな理由じゃないと思うよ。
        そんな理由だったとしたらダサすぎるよ。
        
        シェア
        
        親コメント
      - Re:おつかれさま? (スコア:0)
        
        by Anonymous Coward
        
        対処してないヤシはっけん。
  - とりあえず止めておく (スコア:2)
    
    by Henrich (121) on 2004年05月31日 14時08分 (#559541)
    
    とりあえず、日本Sambaユーザ会の anonymous CVS はある程度確認が
    できるまで停止することにしました。（さっきアナウンスしてきました）
    
    ＃cvs自体を含め、サーバは随時更新してます。
    
    シェア
    
    親コメント
  - Re:おつかれさま? (スコア:1, 余計なもの)
    
    by nisi (6390) on 2004年05月30日 14時32分 (#558898) 日記
    
    Ruby,mozilla,namazu と大手ほど、対応していないのか、
    それとも、大手でも対応できないのか。
    
    大手だから狙われたんじゃないかと・・・
    
    --
    taka4
    
    シェア
    
    親コメント
    - Re:おつかれさま? (スコア:1)
      
      by AH-K3001V (22329) on 2004年05月30日 14時49分 (#558907)
      
      話が違いませんか？
      
      大手ほど対応しない
      　組織が硬直化している
      　話を通すのが難しい
      
      大手でも対応できない
      　要求される技術力がない
      
      どこからターゲットになり易いかそうで無いかの議論になったのか
      
      シェア
      
      親コメント
      - Re:おつかれさま? (スコア:1)
        
        by nisi (6390) on 2004年06月02日 7時54分 (#561035) 日記
        
        その話のつもりでした。（あいかわらずあいまいな表現ですみません）
        
        つまり、大手であろうがなかろうが、対応状況はかわらないんじゃないか
        と思ってます。
        クラックされたという今回のニュースからわかるのは、その対応状況云々
        じゃなくて、大手だからじゃないの？ってことが言いたかっただけです。
        
        大手以外は狙われる可能性も低いし、例えクラックされてもニュースにな
        る可能性も低いですよね。
        
        --
        taka4
        
        シェア
        
        親コメント
- Re:おつかれさま? (スコア:2, すばらしい洞察)
  
  by Anonymous Coward on 2004年05月30日 10時41分 (#558823)
  
  だな。
  MS でこんな事がある時も、同じようにねぎってやってほしいな。
  
  シェア
  
  親コメント
  - Re:おつかれさま? (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2004年05月30日 10時51分 (#558826)
    
    MS でこんな事がある時も、同じようにねぎってやってほしいな。
    
    確かに MS 製品はちょっと値頃感に欠けますからね。
    
    # 「ねぎらう」だろう、と一応ツッコミ。
    
    シェア
    
    親コメント
  - Re:おつかれさま? (スコア:1)
    
    by greentea (17971) on 2004年05月30日 11時56分 (#558850) 日記
    
    > MS でこんな事がある時も、同じようにねぎってやってほしいな。
    
    MSの場合は叩かれるだろうけど、なんとなくそれが定番化していて、
    たとえMSが悪くなくても叩かれる、ってのがパターン化されているように思えます。
    
    MSってそういうキャラなんじゃないかなぁ。
    
    # WindowsからMS叩き
    
    --
    1を聞いて0を知れ!
    
    シェア
    
    親コメント
    - Re:おつかれさま? (スコア:0)
      
      by Anonymous Coward
      
      ＞MSってそういうキャラなんじゃないかなぁ。
      
      ダメッ子に加えていじめられっ子ですか。
      
      なんか萌えてきた。
      - Re:おつかれさま? (スコア:0)
        
        by Anonymous Coward
        
        Meたんの生みの親ですし。
    - - Re:おつかれさま? (スコア:1)
        
        by greentea (17971) on 2004年05月31日 19時47分 (#559878) 日記
        
        MSってそういうキャラだと思ってMS叩きしてました。
        
        そんな人って珍しいかなぁ。
        
        --
        1を聞いて0を知れ!
        
        シェア
        
        親コメント
  - Re:おつかれさま? (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2004年05月30日 14時10分 (#558892)
    
    ＞ MS でこんな事がある時も、同じようにねぎってやってほしいな。
    
    WindowsXPを半額にしてくれ！
    
    シェア
    
    親コメント
    - Re:おつかれさま? (スコア:3, おもしろおかしい)
      
      by machi (11988) on 2004年05月30日 14時56分 (#558911)
      
      XPだけと言わず、MSDNも半額にしてくれ！
      
      シェア
      
      親コメント
障害報告があるだけマシ (スコア:0, すばらしい洞察)

by Anonymous Coward on 2004年05月30日 10時27分 (#558818)

クラックされても，障害報告があって，可及的速やかに復旧されたんだろ。
落ちっぱなしで何がおこっているか報告もしないようなところよりは遥かにマシ。
- Re:障害報告があるだけマシ (スコア:0)
  
  by Anonymous Coward
  
  復旧してないでしょ
  でも、進捗報告があるんではるかにましってところは同意
なさけないですな (スコア:0, すばらしい洞察)

by Anonymous Coward on 2004年05月30日 11時00分 (#558830)

メンテする暇と知識が無い場合、サーバー立てんなってのはお約束じゃ無かったんすかね？
被害者の方々は、とっとと sourceforge にブツ移動して一年間ほどサーバー管理謹慎しれ。
- Re:なさけないですな (スコア:0)
  
  by Anonymous Coward
  
  もっと信用できない気がわずかながらにしてしまいますがw
  - Re:なさけないですな (スコア:0)
    
    by Anonymous Coward
    
    まぁ、集合住宅ですし前科も一応あるのでアレですが、前回の報告を見る限り、影響範囲の確認とか当り前のレベルの作業はこなせそうに見えるので。
    勿論 CVS のアップデートも。
    
    後、サークル上がりみたいな物だからとか人手がとかお金がとかはないでしょうし。
    
    #最善かと言われれば自信は無いですが。
もじら組 (スコア:0)

by Anonymous Coward on 2004年05月30日 11時10分 (#558831)

もじら組 [mozilla.gr.jp]もCVSによる侵入だったようです。
そうなると、やはり、同一犯?
まつもとさんの日記にあるように

犯人が見つかった場合には不正アクセス法違反に加えて、 (netlab.jpに被害を加えたことで)会社として損害賠償も請求することになると思います。

となることを願います。

#でも、手口が単純な設定ミスで、「不正」とは呼べない仕組だったら、また例のごとく論争が。うむむむ～。
- Re:もじら組 (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年05月30日 11時48分 (#558847)
  
  CVSのexploitであれば攻撃コードを流し込まないと侵入できないわけだから、不正アクセスに問える。論争にもならんでしょ。
  なるとしたら、脆弱性を塞ぐ方法があったにも関わらず対処をしなかった、という管理責任を突っ込まれて、罪を軽くされちまう可能性がある、くらいかな。
  無罪放免は無いだろうけど、いくら取れるかね。
  
  シェア
  
  親コメント
  - Re:もじら組 (スコア:1)
    
    by tucker (16275) on 2004年05月31日 19時28分 (#559866) ホームページ
    
    んっとですねぇ、不正アクセス禁止法違反は行為犯なので、システム管理者側がどの程度一生懸命防護していたかは、罪の軽重には余り関係ありません。
    ＃どちらかと言うと、不正アクセスを行う側が、「どれくらい執念をもってやっていたか」という判断材料に使われる感じでしょうか？
    
    で、今回のCVS云々、という件について言えば、サーバの運用停止を余儀なくされているので、不正アクセス禁止法というよりは、電子計算機損壊等業務妨害（刑法第２３４条の２） [e-gov.go.jp]な気がします。
    ＃これなら最長５年なので、余罪を絡めれば、７年半ぶち込むことが可能。
    
    もちろん、民訴でせしめる損害賠償額については、どっちにしても行為責任のバランスと実損害額の掛け算で決まるので、「どれだけキチンと管理していた（ように裁判官に見える）か」がポイントになります。
    
    シェア
    
    親コメント
  - Re:もじら組 (スコア:0)
    
    by Anonymous Coward
    
    なるほど、アホ発言でスマソ
- Re:もじら組 (スコア:1, 興味深い)
  
  by Anonymous Coward on 2004年05月30日 13時20分 (#558879)
  
  犯人が見つかった場合には不正アクセス法違反に加えて、 (netlab.jpに被害を加えたことで)会社として損害賠償も請求することになると思います。
  
  なすべき対策もせずに放置しておいて、クラックされるのを待ってたわけですね。それで損害賠償請求ですか。文字通り「サイバーノーガード戦法」ですね。ACCSとやってることは何ら変わりませんね。
  
  シェア
  
  親コメント
  - Re:もじら組 (スコア:1)
    
    by nisi (6390) on 2004年05月30日 14時46分 (#558905) 日記
    
    office氏の事件の場合、悠然と公開スペースに置かれていた情報を二次公開したのであって、今回とはだいぶ状況が違いませんか？
    
    対処が遅かったことに問題があるとはいえ、狙われたのはCVSの脆弱性であり、しかも何もせずにデフォルト公開されている場所に関するものでもなく、明確に改竄できない（させたくない）場所の情報を、脆弱性を利用して意図的に改竄しわわけですから。
    
    --
    taka4
    
    シェア
    
    親コメント
    - Re:もじら組 (スコア:0)
      
      by Anonymous Coward
      
      > office氏の事件の場合、悠然と公開スペースに置かれていた情報を二次公開した
      
      少なくとも警察は違う見解のようですね。そうでなければそもそも逮捕などなかったでしょうから。
      
      > 今回とはだいぶ状況が違いませんか？
      
      と言う訳で、あなたの見解にしたがえばそうかも知れません。しかし違う見解の人も明らかにいますね。
      - Re:もじら組 (スコア:1)
        
        by nabe_specter (19185) on 2004年05月30日 19時17分 (#558977)
        
        Office氏の事件の場合CGIにファイル名を引数として与えてやるだけで簡単にファイルを開くことができたと聞いています。
        
        一方、今回の件の場合はCVSに明らかな攻撃の意図を持ったコードを突っ込まないとクラック出来ません。
        
        従いまして、Office氏の事件が不正アクセスであるか否か、逮捕に正当性があったかどうかにかかわらず、Office氏の事件と今回の事件はまったく状況が違うと思います。
        
        #突っ込み、フォローがありましたらよろしくお願いします。
        
        シェア
        
        親コメント
        
        Re:もじら組 (スコア:1)
        
        by nabe_specter (19185) on 2004年05月30日 19時53分 (#559007)
        
        ・HTMLの内容を書き換えて本来の仕様にはない引数（CGI自体のファイル名）をCGIに渡す
        とか
        ・再びHTMLの内容を書き換えて本来の仕様にはない引数（個人情報が保存されていたログファイル名）をCGIに渡す
        これって違うんですか?
        誤解を招くような書き方をしたことは反省しておりますが、URLの引数ではなくPOSTメソッドの引数をさしていることをお察しください。
        
        シェア
        
        親コメント
        
        Re:もじら組 (スコア:1)
        
        by moci (11748) on 2004年05月31日 0時23分 (#559154) 日記
        
        サーバ上のHTMLを書き換えるのと、ローカルに保存したHTMLを書き換えるのとは、まったく違うでしょう。
        
        さらにいえば、別にローカルのHTMLを書き換えずとも、Telnetでつないで全部手で打つことや、wgetの引数で指定することでだって、実現可能ですね。
        
        シェア
        
        親コメント
        
        Re:もじら組 (スコア:1)
        
        by nabe_specter (19185) on 2004年05月31日 19時27分 (#559864)
        
        ローカル上に存在するファイルを書き換えるのはメモ帳で十分でしょう。メモ帳を操作してHTMLファイルを書き換える程度なら、ちょっとHTMLについて勉強していれば簡単にできるはずです。
        
        しかし、CVSの脆弱性をついて攻撃するのは少なくとも、HTMLの知識がある程度のレベルではできないでしょう。
        
        この難易度の大きな差を根拠にOffice氏の事件と今回の事件が状況がぜんぜん違うといっているのです。
        
        #もしかしてサーバー上に存在するHTMLファイルを書き換えているのだと勘違いしていませんか。
        
        シェア
        
        親コメント
    - - Re:もじら組 (スコア:1)
        
        by nisi (6390) on 2004年06月02日 7時43分 (#561027) 日記
        
        玄関の前に置いてあったものを見てしまったら不法侵入ですか？
        
        --
        taka4
        
        シェア
        
        親コメント
  - Re:もじら組 (スコア:0)
    
    by Anonymous Coward
    
    煽るつもりはないけど、おれもいきなり「不正アクセス禁止法」が出てきて、びっくりした。まつもとさんのoffice氏の事件に対する見解は知らないけど……。
    - Re:もじら組 (スコア:0)
      
      by Anonymous Coward
      
      おれもいきなり「不正アクセス禁止法」が出てきて、びっくりした。
      
      まさしく「不正アクセス」されたんだから、出てきても別に不思議じゃないと思いますが。管理がずさんだった(迂闊
      - Re:もじら組 (スコア:3, 参考になる)
        
        by taka2 (14791) on 2004年05月30日 22時53分 (#559104) ホームページ日記
        
        この場合は、不正アクセス行為の禁止等に関する法律 [meti.go.jp]の三条の三ですね。
        ---
        第三条　何人も、不正アクセス行為をしてはならない。
        (略)
        三　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
        ---
        
        つまり、パスワードによって制限されている機能があるときに、
        なんらかの手段でパスワードを入れたのと同じ効果を得ることは不正アクセス行為になる、と。
        (ちなみに、
        三条の一は他人のパスワードを使うこと
        三条の二はニセのパスワードを使うこと
        です。)
        
        今回の場合、
        CVSのバグに乗じてコードを流し込むことによって、
        通常はパスワードを入れてログインしないと出来ないことを
        出来るようにしたので、まんま不正アクセス行為です。
        
        Office 氏の場合、そもそもパスワードをかけていた
        (アクセス制御機能によりその特定利用を制限されていた)
        ことになるのかどうかが争点になっているので、ちょっと別問題ですね。
        
        シェア
        
        親コメント
- Re:もじら組 (スコア:1)
  
  by nekonyan (3158) on 2004年05月30日 18時57分 (#558970) 日記
  
  これをサイバーノーガード戦法と言うそうで。
  
  シェア
  
  親コメント
MSを見習え (スコア:0, 余計なもの)

by Technical Type (3408) on 2004年05月30日 11時18分 (#558832)

自社で出しているパッチも当て損なったために MSNが新型ウイルス「ニムダ」に感染 [nikkeibp.co.jp]とか HotmailがCode Redに感染 [itmedia.co.jp]した過去の事は棚に上げてオープンソース叩きをすればいいさ。
- Re:MSを見習え (スコア:1, すばらしい洞察)
  
  by Anonymous Coward on 2004年05月30日 11時27分 (#558838)
  
  この件とMSと何の関係があるんですか？
  
  ソフトウェアの更新し忘れでクラックされるのはどこがやっても情けないと思いますが。
  
  シェア
  
  親コメント
  - Re:MSを見習え (スコア:0, 余計なもの)
    
    by Technical Type (3408)
    
    「オープンソースはこれだから甘い」といった主張が延々と /. で展開されるとうっとおしいので、そのような主張を不可能にする実例を挙げて牽制したわけ。
    - Re:MSを見習え (スコア:0)
      
      by Anonymous Coward
      
      オープンソースもMS並に叩くべきだと煽っているのだと思った。
      - Re:MSを見習え (スコア:0)
        
        by Anonymous Coward
        
        いいかげん Technical Type をスルーすることを覚えよう！

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

今度はRuby・・・ruby-lang.orgクラックされる More ログイン

自動停止 (スコア:2, 興味深い)

あります (スコア:2, 興味深い)

Anonymous CVSって必要？ (スコア:1, 興味深い)

Re:Anonymous CVSって必要？ (スコア:1)

予想 (スコア:0)

おつかれさま? (スコア:0)

Re:おつかれさま? (スコア:3, 興味深い)

Re:おつかれさま? (スコア:2, 参考になる)

Re:おつかれさま? (スコア:0)

Re:おつかれさま? (スコア:0)

Re:おつかれさま? (スコア:3, すばらしい洞察)

Re:おつかれさま? (スコア:0)

とりあえず止めておく (スコア:2)

Re:おつかれさま? (スコア:1, 余計なもの)

Re:おつかれさま? (スコア:1)

Re:おつかれさま? (スコア:1)

Re:おつかれさま? (スコア:2, すばらしい洞察)

Re:おつかれさま? (スコア:1, おもしろおかしい)

Re:おつかれさま? (スコア:1)

Re:おつかれさま? (スコア:0)

Re:おつかれさま? (スコア:0)

Re:おつかれさま? (スコア:1)

Re:おつかれさま? (スコア:1, おもしろおかしい)

Re:おつかれさま? (スコア:3, おもしろおかしい)

障害報告があるだけマシ (スコア:0, すばらしい洞察)

Re:障害報告があるだけマシ (スコア:0)

なさけないですな (スコア:0, すばらしい洞察)

Re:なさけないですな (スコア:0)

Re:なさけないですな (スコア:0)

もじら組 (スコア:0)

Re:もじら組 (スコア:1, すばらしい洞察)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:1, 興味深い)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:3, 参考になる)

Re:もじら組 (スコア:1)

MSを見習え (スコア:0, 余計なもの)

Re:MSを見習え (スコア:1, すばらしい洞察)

Re:MSを見習え (スコア:0, 余計なもの)

Re:MSを見習え (スコア:0)

Re:MSを見習え (スコア:0)