[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Debian JP master SVN www commits (rev.1107)
=======================================================
Repository: /org/svn.debian.or.jp/repos
Revision: 1107
Commiter: henrich
Date: 2010-12-22 21:19:25 +0900 (水, 22 12月 2010)
=======================================================
Log:
update more
=======================================================
Changed:
U www/trunk/blosxom/data/exim4-security-update.d
Modified: www/trunk/blosxom/data/exim4-security-update.d
===================================================================
--- www/trunk/blosxom/data/exim4-security-update.d 2010-12-21 21:01:53 UTC (rev 1106)
+++ www/trunk/blosxom/data/exim4-security-update.d 2010-12-22 12:19:25 UTC (rev 1107)
@@ -13,7 +13,9 @@
<pre>
$ dpkg -s exim4 | grep Version
Version: 4.69-9+lenny1</pre></li>
-<li>既に被害にあっていないかどうか。現在確認されているところでは、<strong>/var/spool/exim4 以下</strong>にツールが配置されているケースがあります。以下のようなファイルが配置されている場合は、残念ながら既に侵入されています (<a href="http://www.reddit.com/r/netsec/comments/en650/details_of_the_root_kit_that_got_installed_on_my/";>参考URL</a>) 。
+<li>既に被害にあっていないかどうか。
+<ul>
+<li>現在確認されているところでは、<strong>/var/spool/exim4 以下</strong>にツールが配置されているケースがあります。以下のようなファイルが配置されている場合は、残念ながら既に侵入されています (<a href="http://www.reddit.com/r/netsec/comments/en650/details_of_the_root_kit_that_got_installed_on_my/";>参考URL</a>) 。
<pre>
-rw------- 1 Debian-exim Debian-exim 117 Dec 15 16:41 a.conf
-rw------- 1 Debian-exim Debian-exim 119 Dec 15 16:41 e.conf
@@ -25,14 +27,16 @@
-rw------- 1 Debian-exim Debian-exim 3120 Dec 15 16:41 setuid.1
-rw------- 1 Debian-exim Debian-exim 130 Dec 15 16:41 setuid.c
</pre></li>
-<li>その他、メールログやシステムログに異常がみられないか</li>
+<li>別の被害ケースでは、上記のような状態にはなっていなかったが、netstat コマンドの実行 (netstat -antp) で dropbear という SSH サーバを別途インストールされていることを発見し、さらに確認したところ、外部から接続可能なように root ユーザの SSH の設定に鍵が追加されていたとのことです。</li>
</ul>
+<li>その他、メールログやシステムログに異常がみられないかの確認。</li>
+</ul>
<p>
対策:
<ul>
-<li><strong>すぐに Exim4 のアップデートを実施</strong>してください (aptitude update; aptitude safe-upgrade などしてパッケージを最新の状態に保ってください)</li>
-<li>最新のセキュリティ更新情報が送付される <a href="http://lists.debian.org/debian-security-announce/";>debian-security-announce メーリングリストの購読</a>や <a href="http://www.debian.org/security/dsa";>セキュリティ更新情報の RSS の取得</a>を検討ください (日本語訳は <a href="http://www.debian.or.jp/community/ml/openml.html#usersML";>debian-users メーリングリスト</a>で配布されています)</li>
-<li><a href="http://packages.debian.org/lenny/apticron";>apticron パッケージ</a>を使った自動更新の確認などを検討ください</li>
+<li><strong>すぐに Exim4 のアップデートを実施</strong>してください (aptitude update; aptitude safe-upgrade などしてパッケージを最新の状態に保ってください)。</li>
+<li>最新のセキュリティ更新情報が送付される <a href="http://lists.debian.org/debian-security-announce/";>debian-security-announce メーリングリストの購読</a>や <a href="http://www.debian.org/security/dsa";>セキュリティ更新情報の RSS の取得</a>を検討ください (日本語訳は <a href="http://www.debian.or.jp/community/ml/openml.html#usersML";>debian-users メーリングリスト</a>で配布されています)。</li>
+<li><a href="http://packages.debian.org/lenny/apticron";>apticron パッケージ</a>を使った自動更新の確認などを検討ください。</li>
</ul>
<p>
今回の問題は、容易に侵入を許し root 権限を奪われる非常に危険なケースです。十分に注意・確認をお願いします。なお、今回の更新に加えて権限上昇に対する Exim4 のアップデートが配布される予定がありますので、その際も更新をお願いします。</p>