GNU Project FTP Server Root Compromise
Yasushi Shinjo
CERT にも出ていましたが、GNU プロジェクトの ftp サーバを動か
しているホスト gnuftp.gnu.org のroot 権限が取られていたよう
です。
http://www.cert.org/advisories/CA-2003-21.html
ftp://ftp.gnu.org/MISSING-FILES.README
------------------------------------------------------------
Summary
* gnuftp, the FTP server for the GNU project was root compromised. A
replacement machine was rolled out in its place on the morning
(Eastern time) of 2003-08-02.
* After substantial investigation, we don't believe that any GNU
source has been compromised.
* To be extra-careful, we are verifying known, trusted secure
checksums of all files before putting them back on the FTP site.
That process began on 2003-08-02 and is ongoing.
------------------------------------------------------------
概要
* gnuftp という、GNU プロジェクトの FTP サーバの root 権限が奪
われていた。米国東部時間の2003年8月2日に代替機にの引き継いだ。
* 今までの調査の結果、我々は、どの GNU のソースプログラムも、
書き換えられていないと信じている。
* 念のため、我々は、ファイルを FTP サイトに戻す前に前に、全て
のファイルのチェックサムを、よく知られていて、信頼できる場所
にあるものと比較して検証している。検証作業は、2003年8月2日に
始めて、今も続けている。
------------------------------------------------------------
ソース・プログラムにトロイの木馬が仕掛けられていなかったこと
は、不幸中の幸なんでしょう。
Linux の ptrace(2) の問題でやられたという話なので、そのホス
トに正規にログインできる人か、正規ユーザのパスワードを破った
人の仕業ですね。バグが公表されたのが3月17日で、パッチが出た
のが翌週で、その間にやられたということなので、なかなか厳しい
ですね。
次のファイルに、ファイル名とMD5 のチェックサム(ハッシュ値)
と、あと、MD5が合っていることを信じるに足る理由のリストが出
ているということです。
ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc
とりあえず、続きは、Followup-To: fj.comp.security としてあり
ます。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\