オープンソースのバージョン管理ツール「CVS」 (Concurrent Versions System)のセキュリティ・ホールを突いた不正侵入が続発している。米国時間5月24日,CVSの公式サイトであるcvshome.orgが不正侵入を受けたことが報告された。日本でも,5月24日にはWebブラウザ「Mozilla」のユーザー会「もじら組」,5月27日には全文検索ツール「namazu」の公式サイト,5月28日にはオブジェクト指向スクリプト言語「Ruby」の公式サイトへの不正侵入があったことが明らかになった。
セキュリティ・ホールは,5月19日最初に報告されたものだが,CERT/CCは5月26日に改めて警告した(CVS Heap Overflow Vulnerability)。セキュリティ・ホールが存在する,CVS安定版の1.11.15以前および開発版の1.12.7以前のバージョンを使用しているユーザーはすぐにパッチを適用されたい。
米国時間5月24日,CVSのメーリング・リストに「cvshome.orgが不正アクセスを受け,ダウンしている」という報告が投稿された(CVS Security Vulnerability)。
不正侵入はcvshome.orgが“信頼”していた,cvshome.orgとは別CVSサーバーを介して行われたという。CVSにパッチが適用される前にrootkitが仕かけられていたと報告されており,“信頼”していたCVSサーバーに仕掛けられたrootkitで,cvshome.orgのアカウントやパスワードを盗聴するなどの手口により侵入された可能性が考えられる。現在ではcvshome.orgは回復しており,不正なコードは存在していない状態(cleaned)になっているという。
5月24日には,「もじら組」サイトのトップページが改ざんされた。不正侵入の原因について,もじら組ではホームページで「クラックの原因は,旧バージョンのCVSに含まれていたぜい弱性を狙われたものと思われる」と表明している。
5月27日には,「namazu」の公式サイトが不正侵入を受けていたと発表された。Web,FTP,メーリング・リスト,CVSのサービスを提供していた,karin.namazu.orgが日本時間2004年5月23日午前2時ころに何者かに侵入されていたことが発覚したという。原因はCVSのセキュリティ・ホールと見られる。namazu.orgでは「現在リリースされているnamazu-2.0.13-1.tar.gz についてはこの問題の影響を受けていない」としている。
また5月28日には,「Ruby」の公式サイトに不正侵入があったことが公表された。「何者かがhelium.ruby-lang.orgに侵入していたことを,2004年5月28日にサイト管理者が確認した」という。やはり原因はCVSのセキュリティ・ホールと見られる。ただし,chrootと呼ばれるセキュリティ対策ツールを使用し,CVSに侵入されても他のプロセスやファイルに不正な操作ができないようにしていたため,他のサービスやコンテンツへの影響の可能性は低いと考えられるとしている。また,公式サイトに置かれていたruby-1.8.1.tar.gzとruby-1.6.8.tar.gzには改ざんがないことが確認されたという。
■US-CERT Technical Cyber Security Alert
Technical Cyber Security Alert TA04-147A
CVS Heap Overflow Vulnerability
