• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Debian開発サーバーへの不正侵入,原因はLinuxカーネルのセキュリティ・ホール

勝村 幸博=ITpro 2006/07/14 ITpro

 Linuxディストリビューション「Debian GNU/Linux」を開発するDebian Projectは7月13日,7月12日に不正侵入を検知した開発用サーバーを復旧させたことを公表した(関連記事:Debianの開発用サーバーで不正侵入を検知)。併せて,不正侵入の原因は最近見つかったLinuxカーネルのセキュリティ・ホールだったことを明らかにした。

 悪用されたセキュリティ・ホールは,ローカル・ユーザー(ログインの権限を持つユーザー)に対して権限の昇格を許すもの。悪用されると,一般ユーザーに管理者権限(root権限)を奪われる恐れがある。匿名ユーザー(ログイン権限を持たないユーザー)に悪用されることはない。このため,危険度は低い。例えば,このセキュリティ・ホールを7月7日に公表したデンマークSecuniaでは,危険度(Critical)を5段階評価で下から2番目の「Less critical」に設定している。

 今回の不正侵入では,攻撃者は,Debianサーバーにアクセス権限を持つある開発者のアカウントを乗っ取り(盗み),そのアカウントを使って今回のセキュリティ・ホールを悪用し,管理者権限を奪取したとされている。

 Debian Projectの情報によると,今回の経緯は以下のとおり。まず,7月12日の2時43分,怪しいメールが届き,Debianサーバーの管理者は疑念を抱いて調査を開始した。その結果,ある開発者のアカウントでLinuxカーネルのセキュリティ・ホールを突かれて管理者権限を奪われたことが判明した。

 同日4時30分,gluck.debian.orgサーバーをオフラインにし,コンテンツをメディアにバックアップした。他のDebianサーバーについては,同じように不正侵入されていないかどうかを調べるために,ロックダウン(アクセス制限を強化)した。これらは,問題がないバージョンのカーネルにアップグレードされるまでロックダウンされる。

 セキュリティ・ホールを突かれてから管理者が気付くまでの時間は短かったために,被害の範囲は限定的だったという。現時点では,被害を受けたことが明らかなのはpingコマンド(/bin/ping)だけである。また,悪用されたアカウントには他のDebianサーバーに対するアクセス権限はなかったので,定期的なアーカイブやセキュリティに関するアーカイブは影響を受けていないとする。

 今回悪用されたセキュリティ・ホールが存在するのは,Linuxカーネル 2.6.13から2.6.17.3まで,および2.6.16から2.6.16.23まで。2.6.17.4および2.6.16.24では修正されている。修正版は「The Linux Kernel Archives」のサイトのほか,各ディストリビューションのサイトから入手できる。

 このセキュリティ・ホール“単体”の危険度は小さいものの,今回のケースに見られるように,ローカル・ユーザーになりすました攻撃者に管理者権限を与える恐れがある。マシンにローカル・ユーザーのアカウントを一切設定していない場合でも,ローカル・ユーザーのアクセス権限を奪われるセキュリティ・ホールと組み合わせられることで,リモートの匿名ユーザーに管理者権限を奪われる可能性がある。

 このためSANS Instituteでは,セキュリティ・ホールが存在するバージョンを使っている場合には,できるだけ早急にパッチを適用する(アップグレードする)ことを勧めている。ちなみに,今回不正アクセスを受けたDebianサーバーはLinux 2.6.16.18を使用していたという。

Debian Projectの情報
Secuniaの情報
SANS Instituteの情報

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る