[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.1107)



=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 1107
  Commiter: henrich
      Date: 2010-12-22 21:19:25 +0900 (水, 22 12月 2010)
=======================================================
Log:

update more


=======================================================
Changed:

U   www/trunk/blosxom/data/exim4-security-update.d

Modified: www/trunk/blosxom/data/exim4-security-update.d
===================================================================
--- www/trunk/blosxom/data/exim4-security-update.d	2010-12-21 21:01:53 UTC (rev 1106)
+++ www/trunk/blosxom/data/exim4-security-update.d	2010-12-22 12:19:25 UTC (rev 1107)
@@ -13,7 +13,9 @@
 <pre>
 $ dpkg -s exim4 | grep Version
 Version: 4.69-9+lenny1</pre></li>
-<li>既に被害にあっていないかどうか。現在確認されているところでは、<strong>/var/spool/exim4 以下</strong>にツールが配置されているケースがあります。以下のようなファイルが配置されている場合は、残念ながら既に侵入されています (<a href="http://www.reddit.com/r/netsec/comments/en650/details_of_the_root_kit_that_got_installed_on_my/";>参考URL</a>) 。
+<li>既に被害にあっていないかどうか。
+<ul>
+<li>現在確認されているところでは、<strong>/var/spool/exim4 以下</strong>にツールが配置されているケースがあります。以下のようなファイルが配置されている場合は、残念ながら既に侵入されています (<a href="http://www.reddit.com/r/netsec/comments/en650/details_of_the_root_kit_that_got_installed_on_my/";>参考URL</a>) 。
 <pre>
 -rw------- 1 Debian-exim Debian-exim     117 Dec 15 16:41 a.conf
 -rw------- 1 Debian-exim Debian-exim     119 Dec 15 16:41 e.conf 
@@ -25,14 +27,16 @@
 -rw------- 1 Debian-exim Debian-exim    3120 Dec 15 16:41 setuid.1
 -rw------- 1 Debian-exim Debian-exim     130 Dec 15 16:41 setuid.c
 </pre></li>
-<li>その他、メールログやシステムログに異常がみられないか</li>
+<li>別の被害ケースでは、上記のような状態にはなっていなかったが、netstat コマンドの実行 (netstat -antp) で dropbear という SSH サーバを別途インストールされていることを発見し、さらに確認したところ、外部から接続可能なように root ユーザの SSH の設定に鍵が追加されていたとのことです。</li>
 </ul>
+<li>その他、メールログやシステムログに異常がみられないかの確認。</li>
+</ul>
 <p>
 対策:
 <ul>
-<li><strong>すぐに Exim4 のアップデートを実施</strong>してください (aptitude update; aptitude safe-upgrade などしてパッケージを最新の状態に保ってください)</li>
-<li>最新のセキュリティ更新情報が送付される <a href="http://lists.debian.org/debian-security-announce/";>debian-security-announce メーリングリストの購読</a>や <a href="http://www.debian.org/security/dsa";>セキュリティ更新情報の RSS の取得</a>を検討ください (日本語訳は <a href="http://www.debian.or.jp/community/ml/openml.html#usersML";>debian-users メーリングリスト</a>で配布されています)</li>
-<li><a href="http://packages.debian.org/lenny/apticron";>apticron パッケージ</a>を使った自動更新の確認などを検討ください</li>
+<li><strong>すぐに Exim4 のアップデートを実施</strong>してください (aptitude update; aptitude safe-upgrade などしてパッケージを最新の状態に保ってください)。</li>
+<li>最新のセキュリティ更新情報が送付される <a href="http://lists.debian.org/debian-security-announce/";>debian-security-announce メーリングリストの購読</a>や <a href="http://www.debian.org/security/dsa";>セキュリティ更新情報の RSS の取得</a>を検討ください (日本語訳は <a href="http://www.debian.or.jp/community/ml/openml.html#usersML";>debian-users メーリングリスト</a>で配布されています)。</li>
+<li><a href="http://packages.debian.org/lenny/apticron";>apticron パッケージ</a>を使った自動更新の確認などを検討ください。</li>
 </ul>
 <p>
 今回の問題は、容易に侵入を許し root 権限を奪われる非常に危険なケースです。十分に注意・確認をお願いします。なお、今回の更新に加えて権限上昇に対する Exim4 のアップデートが配布される予定がありますので、その際も更新をお願いします。</p>