[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
News/2006/20060713.wml
やまねです。
News/2006/20060713.wml を訳してみました。
査読願います。
------------------------------------------------------------------------------
<define-tag pagetitle>Debian サーバの侵害からの復旧について</define-tag>
<define-tag release_date>2006-07-13</define-tag>
#use wml::debian::news
# $Id: 20060713.wml,v 1.2 2006/07/13 18:44:24 joey Exp $
<p>Debian サーバの核となっているものの一つが侵害後に再インストールされ、
サービスが復旧されました。7月12日に gluck.debian.org というホストが
Linux カーネルの脆弱性を利用した侵入を受けたものです。
侵入者は汚染した開発者のアカウントを使ってこのサーバにアクセスを行いました。</p>
<p>影響を受けて一時的に停止していたサービスは以下です: <a
href="http://cvs.debian.org/">cvs</a>, <a
href="http://ddtp.debian.org/">ddtp</a>, <a
href="http://lintian.debian.org/">lintian</a>, <a
href="$(HOME)/devel/people">people</a>, <a
href="http://popcon.debian.org/">popcon</a>, <a
href="http://planet.debian.org/">planet</a>, <a
href="$(HOME)/ports/">ports</a> and <a
href="http://release.debian.org/">release</a>.</p>
<h3>詳細について</h3>
<p>少し前に少なくとも開発者アカウントの一つが汚染を受け、攻撃者によって Debian
のサーバへのアクセスを行うために使われました。Linux カーネルに最近発見されたローカルから
root 権限を奪取する脆弱性が利用され、このサーバの root 権限が奪われました。</p>
<p>7月12日 02:43(UTC) にDebian のサーバ管理者らが怪しげなメールと警告を受けとりました。
続く調査が明らかにしたところでは、開発者のアカウントが汚染を受け、
ローカルからカーネルの脆弱性が攻撃され root 権限を奪取されたということでした。</p>
<p>7月12日 04:30(UTC) に gluck はオフラインとなり、信頼出来るメディアから起動されました。
他の Debian サーバは、同様に侵入をうけていないかを調査するためにロックされました。
これらはロックが解除される前に、修正されたカーネルへとアップグレードされます。</p>
<p>カーネルへの攻撃と Debian サーバの管理者らが気づくまでが短い時間だったため、
攻撃者は大きなダメージをあたえる時間と考えをもつに至るにはありませんでした。
明白に汚染されたバイナリは <code>/bin/ping</code> のみです。</p>
<p>汚染されたアカウントは制限がかかっている Debian
ホストにはアクセスする権限を持っていませんでした。
つまり、通常のアーカイブやセキュリティアーカイブは侵害されることがなかった、
ということです。</p>
<p>開発者のパスワードに対する再調査を行った結果、
いくつかの脆弱なパスワードをもったアカウントはロックされました。</p>
<p>マシンの状態は<a href="http://db.debian.org/machines.cgi">こちら</a>
で確認してください。</p>
<h2>カーネルの脆弱性について</h2>
<p>今回の侵害に使われたカーネルの脆弱性は <a
href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2451">\
CVE-2006-2451</a> として記載されています。これは Linux カーネルの 2.6.13 から
2.6.17.4 のみに存在するもので、2.6.16 では 2.6.16.24 未満に存在します。
このバグはローカルユーザがルート権限を prctl 関数の PR_SET_DUMPABLE
引数を利用して取得するものです。この引数は、
ユーザが権限を持っていないディレクトリに対してプログラムがコアダンプを吐く際に利用します。</p>
<p>現在の安定版リリース Debian GNU/Linux 3.1 別名「Sarge」は Linux カーネル
2.6.8 を含んでおり、これはこの問題の影響を受けません。侵害を受けたサーバは
Linux カーネル 2.6.16.18 で動作していました。</p>
<p>Linux カーネルバージョン 2.6.13 以上 2.6.17.4 未満を利用している場合、
あるいは Linux カーネル 2.6.16 以上で 2.6.16.24 未満の場合は、
ただちにカーネルをアップデートしてください。</p>
<h2>Debian について</h2>
<p>Debian GNU/Linux はフリーなオペレーティングシステムであり、
インターネットを通じて協力しあう世界中の 1000 名以上のボランティアによって開発されています。
Debian のフリーソフトウェアへの献身、非営利組織であること、オープンな開発モデルは
GNU/Linux ディストリビューションの中でも Debian を特別なものとしています。</p>
<p>Debian プロジェクトの強さの鍵は、ボランティアベースであること、Debian
社会契約への献身的な努力、
可能な限り最良のオペレーティングシステムを提供することへの約束によるものです。</p>
<h2>連絡先について</h2>
<p>詳細な情報については、Debian の web ページ <a href="$(HOME)/">\
http://www.debian.org/</a> を参照するか、<press@debian.org>
宛へメールを送ってください。</p>