Linuxディストリビューション「Debian GNU/Linux」を開発するDebian Projectは7月13日,7月12日に不正侵入を検知した開発用サーバーを復旧させたことを公表した(関連記事:Debianの開発用サーバーで不正侵入を検知)。併せて,不正侵入の原因は最近見つかったLinuxカーネルのセキュリティ・ホールだったことを明らかにした。
悪用されたセキュリティ・ホールは,ローカル・ユーザー(ログインの権限を持つユーザー)に対して権限の昇格を許すもの。悪用されると,一般ユーザーに管理者権限(root権限)を奪われる恐れがある。匿名ユーザー(ログイン権限を持たないユーザー)に悪用されることはない。このため,危険度は低い。例えば,このセキュリティ・ホールを7月7日に公表したデンマークSecuniaでは,危険度(Critical)を5段階評価で下から2番目の「Less critical」に設定している。
今回の不正侵入では,攻撃者は,Debianサーバーにアクセス権限を持つある開発者のアカウントを乗っ取り(盗み),そのアカウントを使って今回のセキュリティ・ホールを悪用し,管理者権限を奪取したとされている。
Debian Projectの情報によると,今回の経緯は以下のとおり。まず,7月12日の2時43分,怪しいメールが届き,Debianサーバーの管理者は疑念を抱いて調査を開始した。その結果,ある開発者のアカウントでLinuxカーネルのセキュリティ・ホールを突かれて管理者権限を奪われたことが判明した。
同日4時30分,gluck.debian.orgサーバーをオフラインにし,コンテンツをメディアにバックアップした。他のDebianサーバーについては,同じように不正侵入されていないかどうかを調べるために,ロックダウン(アクセス制限を強化)した。これらは,問題がないバージョンのカーネルにアップグレードされるまでロックダウンされる。
セキュリティ・ホールを突かれてから管理者が気付くまでの時間は短かったために,被害の範囲は限定的だったという。現時点では,被害を受けたことが明らかなのはpingコマンド(/bin/ping)だけである。また,悪用されたアカウントには他のDebianサーバーに対するアクセス権限はなかったので,定期的なアーカイブやセキュリティに関するアーカイブは影響を受けていないとする。
今回悪用されたセキュリティ・ホールが存在するのは,Linuxカーネル 2.6.13から2.6.17.3まで,および2.6.16から2.6.16.23まで。2.6.17.4および2.6.16.24では修正されている。修正版は「The Linux Kernel Archives」のサイトのほか,各ディストリビューションのサイトから入手できる。
このセキュリティ・ホール“単体”の危険度は小さいものの,今回のケースに見られるように,ローカル・ユーザーになりすました攻撃者に管理者権限を与える恐れがある。マシンにローカル・ユーザーのアカウントを一切設定していない場合でも,ローカル・ユーザーのアクセス権限を奪われるセキュリティ・ホールと組み合わせられることで,リモートの匿名ユーザーに管理者権限を奪われる可能性がある。
このためSANS Instituteでは,セキュリティ・ホールが存在するバージョンを使っている場合には,できるだけ早急にパッチを適用する(アップグレードする)ことを勧めている。ちなみに,今回不正アクセスを受けたDebianサーバーはLinux 2.6.16.18を使用していたという。
・Debian Projectの情報
・Secuniaの情報
・SANS Instituteの情報
