Debian Projectのサーバが不正侵入される

Debian Projectのサーバが不正侵入される 18

ストーリー by kazekiri 2006年07月20日 17時15分
ローカルでも注意は必要部門より

あるAnonymous Coward曰く、"ITProの記事やDebian Projectのニュースの報ずるところによると、プロジェクトの管理下にあるサーバが不正侵入され、root権限を奪取までされたとのこと。
手口は、一つのアカウントが不正侵入に使われ、その後Linux Kernelの脆弱性を攻略してroot権限を奪取したようだ。このexploit codeは既に出回っており、脆弱性のあるシステムでは、ローカルユーザが容易にroot権限を得ることができるらしい。（タレコミ人は未検証）脆弱性のあるLinuxカーネルは 2.6.13から2.6.17.3までと、2.6.16から2.6.16.23まで。いうまでもないが、Debianに限らず、他のディストリビューションでも同様だ。

ローカルユーザには信頼できる者しかいないという前提で考え、危険度が低いと判断して修正しないまま放置している管理者もいるかもしれないし、酷いところになると、ホスティングサーバで不特定多数がアクセスできる状態にもかかわらず修正されていないものもあるかもししれない。
Debian Projectチームはすぐに不正侵入に気づき、pingコマンドが細工される程度の被害にとどめることができたが、他のサイトが同じように不正侵入されていても気づいていないかもしれない。

あなたの身近なサーバは大丈夫？"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索18コメント Log In/Create an Account

そろそろカーネルも… (スコア:3, すばらしい洞察)

by Flanker (22257) on 2006年07月20日 18時10分 (#981463)

稼動中に入れ替える技術を検討しないといけない時期に来ているのかもしれませんね。結局のところこの手の進入騒ぎって
稼働率の高いサーバの為カーネルアップグレードが遅れている
↓
ローカルアカウントを奪取してカーネルの脆弱性を利用してroot権限奪取
という感じで進入されるケースが多いように思います。ハードウェアは二重化するわけなので、カーネルも二重化して片方ずつ入れ替える？
＃実装が凄く難しそうな気がする orz

--
腐乱化…もといFlanker
- ライブパッチ (スコア:3, 参考になる)
  
  by shibata (21055) on 2006年07月20日 21時38分 (#981604)
  
  つっ
  一方、「Pannus」プロジェクトでは、"Live Patching"を実現するソフトウェアを開発している。一般的に、ソフトウェアのアップデートを行う「パッチ」は、ソースコードに対して適用する「ソースパッチ」、実行ファイルを直接更新する「バイナリパッチ」があるが、どちらも現在起動中のプログラムを更新することはできない。つまり、更新されたプログラムは、再度起動してメモリにロードし直さなければ修正が有効にならない。サービスの停止が許されないキャリアグレードでは、プロセスを無停止のままパッチを適用できなければならない。 Pannusはメインコードの先頭にjmpアセンブラ命令を上書きし、関数の実行時に修正された新たな関数へ制御を切り替える。これにより、実行中のプロセスを関数単位で修正済み関数へ置き換えることが可能になるということだ。シングルプロセッサ、単一プロセスに対するLive Patchは既にほぼ実現できており、今後はSMP環境やマルチスレッドプロセスへの対応等を行っていくという。
  引用元 [mycom.co.jp] Pannus [sourceforge.net]
  
  シェア
  
  親コメント
- Re:そろそろカーネルも… (スコア:1)
  
  by Anonymous Cowerd (24277) on 2006年07月20日 20時00分 (#981548)
  
  そうこうしているうちに、またLinux Kernelに似たような
  脆弱性がみつかったようですね。
  
  Secuniaのレポート [secunia.com]
  
  稼働中にKernelを入れ替える技術は、どこかが研究していた
  と記憶しています。
  たしかNTT系の会社だった気がします。
  
  シェア
  
  親コメント
- Re:そろそろカーネルも… (スコア:0)
  
  by Anonymous Coward
  
  別に二重化しなくても指定のプロセス以外動かせない様にしておくことできないのですかね？
  そうすれば結構、セキュリティ上のハードルは高くなると思いますけど。
  
  もちろんバッファオーバフローで動かす様な不正コードは、登録コード以外のコードとして実行不可にして。
訳について (スコア:3, 参考になる)

by Henrich (121) on 2006年07月20日 18時11分 (#981465)

参考までに、開発者向け続報の訳 [mithril-linux.org]です。

news の訳はそのうちに更新されるはずですのでお待ち下さい。
- Re:訳について (スコア:3, 参考になる)
  
  by nikomi (28640) on 2006年07月20日 18時47分 (#981493)
  
  ざっくりとした要約でよければプロジェクトの中の人のブログ [kmuto.jp]あたりもどうぞ。
  
  シェア
  
  親コメント
つい最近まで (スコア:1)

by O1iver (31019) on 2006年07月20日 17時24分 (#981436) ホームページ日記

RH9のサーバーで自分のWebサーバー運営してました。
Fedora Coreに乗り換えるついでにSELinuxやらIPTablesやらの構築もしっかりやったんで今はOKだと思いますが。

#RH9→turbo8→Fedora5→Fedora6→???
- Re:つい最近まで (スコア:2, 参考になる)
  
  by do21 (28236) on 2006年07月20日 17時32分 (#981442) ホームページ
  
  SELinux は Kernel の脆弱性まで防げなかったはず。
  
  シェア
  
  親コメント
  - Re:つい最近まで (スコア:3, 参考になる)
    
    by romfffrom (17979) <fedoradesktop@yahoo.co.jp> on 2006年07月20日 20時04分 (#981552) ホームページ
    
    防げます。
    
    FC5,6 RHEL4のデフォルトのSELinuxで今回root権限の昇格に使われたカーネルの脆弱性を防げる事が確認されています。 [redhat.com]
    
    --
    romfffromのコメント設定
    AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
    
    シェア
    
    親コメント
    - Re:つい最近まで (スコア:1)
      
      by romfffrom (17979) <fedoradesktop@yahoo.co.jp> on 2006年07月20日 20時13分 (#981557) ホームページ
      
      FC6ではなく、FC4です。
      ぼけてます。orz
      
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      
      シェア
      
      親コメント
    - Re:つい最近まで (スコア:1, すばらしい洞察)
      
      by Anonymous Coward on 2006年07月20日 20時48分 (#981581)
      
      Debianのサイトがやられたのはこれとは別の穴です。
      
      シェア
      
      親コメント
      - Re:つい最近まで (スコア:1)
        
        by romfffrom (17979) <fedoradesktop@yahoo.co.jp> on 2006年07月20日 21時50分 (#981614) ホームページ
        
        御指摘どうもありがとうございます。
        正しく読んでいませんでした。
        Debianがやられた穴はデフォルトのSELinuxでは
        防げないものでした。
        
        #という事はここ1、2週間で３つもroot権限上昇の穴がみつかったのか？
        
        --
        romfffromのコメント設定
        AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
        
        シェア
        
        親コメント
それなんていう Debian? (スコア:1)

by tsekine (18956) on 2006年07月21日 0時58分 (#981772) ホームページ日記

> 脆弱性のあるLinuxカーネルは 2.6.13から2.6.17.3までと、2.6.16から2.6.16.23まで。いうまでもないが、Debianに限らず、他のディストリビューションでも同様だ。

とりあえず、Debian の stable である sarge は 2.6.8 ベースな気がするのだが、gluck.debian.org とやらはどんな distribution/kernel で運用されてたんでしょうね?
２回目？ (スコア:0)

by Anonymous Coward on 2006年07月20日 17時52分 (#981458)

aptが便利だから、頼りすぎるのだろうか？
これだからLinuxはダメなんだよ。 (スコア:0, 荒らし)

by Anonymous Coward on 2006年07月21日 6時55分 (#981844)

なんか反論ある？
- Re:これだからLinuxはダメなんだよ。 (スコア:0)
  
  by Anonymous Coward
  
  言い方の問題で荒らしにされているけど、OSの心臓と言ってもおかしくないカーネルに関していえば、Windowsと比べて何倍も脆弱性が多い気がしますね。
  Windowsは一ヶ月に一度リブートしても「Windowsだから仕方ないね」で済みますけど、Linuxはリブートが容易には許されないところで使われていることも多く、苦労している人は多いでしょうね。
  - Re:これだからLinuxはダメなんだよ。 (スコア:0)
    
    by Anonymous Coward
    
    Winとくらべてどうかは知らないが、玄箱使ってみて、弱いなぁって思う。
    ま、ハード自体もかなりヘタレだが…
  - Re:これだからLinuxはダメなんだよ。 (スコア:0)
    
    by Anonymous Coward
    
    ＞Windowsは一ヶ月に一度リブートしても「Windowsだから仕方ないね」で済みますけど、Linuxはリブートが容易には許されないところで使われていることも多く、苦労している人は多いでしょうね。
    
    今時のWindowsならリブートなしで平気ですけどね。
    それはそれとして、月一でパッチ提供ってスケジュールが決まってると、こちらの運用スケジュールも立てやすかったりする。
    修正が早いのは良いが、いつ出てくるかわからないってのは対応がめんどい。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Debian Projectのサーバが不正侵入される 18

Debian Projectのサーバが不正侵入される More ログイン

そろそろカーネルも… (スコア:3, すばらしい洞察)

ライブパッチ (スコア:3, 参考になる)

Re:そろそろカーネルも… (スコア:1)

Re:そろそろカーネルも… (スコア:0)

訳について (スコア:3, 参考になる)

Re:訳について (スコア:3, 参考になる)

つい最近まで (スコア:1)

Re:つい最近まで (スコア:2, 参考になる)

Re:つい最近まで (スコア:3, 参考になる)

Re:つい最近まで (スコア:1)

Re:つい最近まで (スコア:1, すばらしい洞察)

Re:つい最近まで (スコア:1)

それなんていう Debian? (スコア:1)

２回目？ (スコア:0)

これだからLinuxはダメなんだよ。 (スコア:0, 荒らし)

Re:これだからLinuxはダメなんだよ。 (スコア:0)

Re:これだからLinuxはダメなんだよ。 (スコア:0)

Re:これだからLinuxはダメなんだよ。 (スコア:0)

スラド