• 1999年9月23日〜29日
• 1999年9月16日〜22日

基本的に新しいもの順（新しいニュースが上） になっておりますので、 ご注意下さい。

何故 Hack PC Week の Linux サーバは侵入されたのか

※「Hack PC Week」についてご存じでない方は、

• PC Week主催「Windows NT vs Red Hat 6.0」（日本語。ChangeLog の速報 9/21）
• 「挑戦者求む!」――挑戦を請うPC WEEKのラボサイト（日本語。ZDNet 9/22）

をご覧下さい。またその後の続報は

• PCWeek の Linux マシン、ハックされる（日本語。ChangeLog の速報 9/24）
• 激しい攻撃を受けるPC WEEK ラボのサイト（日本語。ZDNet 9/28）

をご覧下さい。

けれども、 Linux のセキュリティ全般への有罪判決としてこのエピソードを取り上げる前に、 このシステムがどのようにして侵入されたのかを見ておくのは、 無駄ではないでしょう。

以下の情報は、クラッカーにより PC Week フォーラムに投稿されたものです。 これは分割されているので、 1つめ (英語) と、 2つめ (英語) の両方を読む必要があります。

クラッキングは、二つの異なるステップで行なわれました。 最初のステップは、 そのサーバ上で任意のプログラムを走らせることができるところに 到達することでした。 （「jfs」と確認されている）クラッカーは、 ターゲットであるサイト上で広告を表示するために PC Week が使用していた CGI スクリプト「photoads」の弱点を利用することによって、 これを成し遂げました。

※ CGI (Common Gateway Interface) - バナー広告やアクセスカウンタ等の、参照する度に内容が変わる web ページを作成するために、外部のプログラムを呼び出す機構です。UNIX では、この外部のプログラムは Perl スクリプトで記述される事が多いようです。

※ Apache - フリー／オープンソースのウェブサーバソフトウェア。今回のセキュリティチャレンジの Linux サーバでも Apache が使用されています。

ターゲットのシステムでプログラムを走らせることができるようになったので、 クラッカーは root のアクセス権を奪おうとしました。

※ CGI スクリプトにセキュリティホールが存在しても、直ちにシステムが危険な状態になるとは限りません。通常の運用では CGI は特権を持たない状態で動作しますから、OS のアクセス制御機構によって、行なえる行為は制限されます。侵入したシステムを完全に掌握するには、全ての行為が行なえる root のアクセス権限を奪う事が必要です。

※ cron は UNIX 系 OS において、指定した時刻に、自動的にプログラムを実行するように予約する機構です。Red Hat では Vixie cron という版を使っていましたが、この cron には、一般ユーザが root のアクセス権を奪うことができる問題の存在が発見されています。

※cron 関連記事

• 問題（日本語）
• 影響（日本語）

※ セキュリティ問題の存在を確認するためや、サーバのセキュリティをテストするため、又は単なる悪意から、既知のセキュリティ問題のほとんどについて、それを悪用するプログラムがインターネット上に公開されています。

これが事の顛末のすべてです。

※クラック（侵入）したことの証拠として、 「jfs was here（jfs 参上）」 とページの一部が書き換えられていたのですが、 これに対し、どこかの掲示板（英語。場所は失念。）に 「いや、やつはクラッカーなんかじゃない！ クラッカーというからには痕跡など残さないはずだ ;-)」 というようなご意見もございました。

明らかな結論は、 このセキュリティチャレンジに使われた Linux システムは、 適切なセキュリティ対策が施されていなかったということです。

セキュリティチャレンジの矢面に立たされるようなシステムは、 少なくともセキュリティアップデート （※ しかも、ベンダーからオフィシャルに発行されているセキュリティアップデート） は適用されているべきでしょう。 そして、弱点のあるサードパーティーソフトウェアを採用するのは、 非常に慎重に考えて行われるべきです。

一方で、 Linux システムをセキュリティ的に安全にするのは非常に難しい、 ということも言えるかもしれません。 少なくとも、Red Hat 6.0 にはアップデートが出すぎです。

※ もちろん、既に発見されたセキュリティ上の弱点に対して 迅速に対応（アップデートを発行）すること自体は 好ましいことではありますが。

今やこのリリースへのオフィシャルアップデートは、 ディストリビューション全体のかなりの部分を占めており、 ほとんどのユーザが丹念に調べる気にはならないほど、たくさんあります。 いつも実施されないアップデートがあるままとなるでしょう。 このような必要は、なくなることが望まれます。

ProFTPD は、言われているほど悪くない！

ChangeLog の 「フランステレコム、Linux に完全移行を決断」 （日本語）

…また彼らは、ProFTPd を使うとも言っていますが、これは 最近の問題（日本語）を 考慮すると、そのうち考え直されるかもしれませんね。

ProFTPD は、セキュリティに関して、言われているほど悪 くないということのようです。

私は proftpd に関連する ML を購読しているのですが、その動向を見る限り、最近のproftpdに対する批判はちょっと過剰であるように思われます。

一時、以前の中心的開発者であった Floody が開発を行えない時期はありましたが、最近(少なくともセキュリティに関していろいろと言われるようになる前から)は新たに MacGyver が中心となって開発が積極的に行われています。

# MacGyverが彼の本名かどうかは存じません ^^;

ちょっと前には ProFTPD-Announce という ML もでき、その中で MacGyver は次のような声明を出しました。

From: "MacGyver" <macgyver@tos.net>
To: <proftpd-announce@proftpd.net>
Date: Sun, 26 Sep 1999 03:03:42 -0500
Subject: [ProFTPD-Announce] ProFTPD's security

（※ 以下は、ChangeLog による、 MacGyver 氏のアナウンスメール（英語）の 非公式な邦訳ダイジェストです。）

ProFTPD に対してネガティブな論調の記事（例えば、 FreeBSD や SuSE など）が最近多いが、実際には彼らは、 ちゃんと proftpd のコードを見て言っているのではな く、最近発見されたの３つのセキュリティ上の弱点（そ のうち2つは他のメジャーな ftp サーバにも影 響するし、他のサーバの多くはこれをまだ修正してなかっ たり、他のホールが存在したりする）に対して言ってい るだけだ。

ProFTPD は、セキュリティを最優先して開発している！

今は新しい開発体制への移行時で慌ただしいけど、セキュ リティホールは発見され次第すぐに埋めていくつもりで、 実際自分達はつい最近もセキュリティの強化策を実装し ている。（潜在的な弱点に対する対策や、AllowFilter や DenyFilter などの指示子など。）

2.2 カーネルの TCP スタックに弱点

2.2 (と 2.3) カーネルの TCP スタックに、バグが 発見、報告されました (英語)。 充分に賢い攻撃者は、これを使って、 IP アドレスに基づいたアクセス制御メカニズムをバイパスすることができます。

※ IP アドレスに基づいたアクセス制御 - インターネットに接続する全てのコンピュータには、IP アドレスと呼ばれる番号が付けられています。IP パケット (インターネットの通信に使用されるデータの塊) には、送信元の IP アドレスが記されており、このアドレスに基づいてアクセスを許可したり／禁止したりする事が「IP アドレスに基づいたアクセス制御 (address-based access control) です」。送信元の IP アドレスは簡単に偽造出来ますから、アクセス制御を IP アドレスだけに依存する事は、本質的に危険であると言えます。

※既にこの修正は 2.2.13pre13 に含まれています。

次世代公開鍵暗号の有望株、楕円曲線暗号の解読に成功 --- 賞金の一部は FSF に寄付

（1999/9/28 パリ） Certicom により設けられた 新しいコードクラッキングチャレンジは、 20ヶ国の 740台のコンピュータを用いて 40日間で成功裏に破られました。 コード（ECC2-97）は、楕円曲線暗号として知られる技術に基づくものです。

Robert Harley 氏率いる INRIA （フランス国立コンピュータ科学・制御研究所）の Cristal プロジェクトの メンバー（研究者 195 人）によると、 楕円曲線に基づく 97ビット暗号化システムは、 RSA-155 のような整数に基づく 512 ビットのシステムをクラックするよりも ずっと難しい

賞金のうち $4,000（約 42万円）は、 FSF （フリーソフトウェアファンデーション） （英語。日本語） に寄付されるということです。 (Thanks to Stefane Fermigier)

※ 最初は「次世代公開鍵暗号の有望株、楕円曲線暗号破られる! --- 賞金の一部は FSF に寄付 」という見出しになっておりましたが、 やればできることは分かっていた（むしろ予定通りだった）のだから、 間違いではないけれども不適切（「見出しが下品」（演出過剰））であり 「破られる！」というよりも「解読成功」くらいの表現が妥当ではないでしょうか、 （詳しくはこちら（日本語）を参照してください）という内容のご指摘を受けましたので、 見出しを訂正させていただきました。

どうやら、この程度のキーでも、 楕円曲線暗号の解読はそれなりに難しい と言うことを実証するための試みの一つであったということのようです。

[訂正: 1999/09/30]（Thanks to 鈴木さん、小島さん）

ssh 1.2.27 に対する DoS 攻撃

これは /tmp 関係の問題の一種であり、 悪意を持った人がローカルユーザに嫌がらせすることができてしまいます。

今週のセキュリティアップデート

• Project Vine から、vixie-cron へのアップデート（日本語）が出ています。（対象：Vine Linux 1.1〜）

• Debian プロジェクトは、やっかいなセキュリティ問題を修正するamd オートマウンターのアップデート (英語) をリリースしました。 迅速なアップデートが推奨されています。

• LinuxPPC も proftpd、 wu-ftpd、 telnet、 libtermcap、 cron、 及び lynx のアップデートに加えて、amd のパッチも公開しています。 詳しくは LinuxPPC のセキュリティページ (英語) をご覧下さい。

• Linux-Mandrake はGNOME 版 nethack のアップデート (英語) を出しました。これは、nethack のバッファオーバフロー問題を修正します。 ユーザには、実際に使っていなければ単にプログラムを削除することが 推奨されています。

• Yellow Dog Linux は、proftpd と beroftpd の両 FTP サーバへのアップデートをアナウンス (英語) しました。

Linux 管理者向けセキュリティガイド

推薦文書：オープンソースがセキュリティシステムに必須な理由

Bruce Schneier 氏の 暗号ニュースレターの 9月 15日号 （英語） に、オープンソースがなぜセキュリティシステムに必須なのか、についての 長いエッセイがあります。

「Linux のセキュリティと Mincrosoft Windows との比較からは、 あまり教訓的なことが得られません。 何故なら、Microsoft はセキュリティに関して、 まずい仕事をしてきたので、実際これはフェアな比較ではありません。 けれども例えば、Linux と Solaris との比較からは 教訓的なことが得られるます。 人々は Linux のセキュリティ問題をより早くに発見し、 Linux はより迅速に修正されています。 結果的としてあるのは、 まだ公開されてから数年しか経っていませんが、 作成されてから同じくらいの年月が経過した Solaris よりも頑強な OS なのです。」

（※訳注: 例えば、公開されてから8年目当時の Solaris よりも 今の Linux （満8歳）の方がセキュリティ的に安全である ということです。 フェアな比較かどうかは議論のあるところかも知れませんが、、、）

(Thanks to Karl Vogel, Wright-Patterson AFB)

米国政府はフリーソフトウェアに目覚めている

「セキュリティ。それは政府の施設にとって、 年中絶えることのない課題でした。 それが突然、扱いやすくなるのです。

特別な要求がある機関は、 プログラマを雇って既存のパッケージにちょっとした変更を行います。 これは、特注のプログラミングに費されていたであろう 何千ドルものお金を節約するものです。

軍事施設は、 問題を修正させるためにサプライヤーに依存するのではなく、 彼らのコンピュータセキュリティの問題の核心へと至る道を、 ついに手に入れました。」

Mandrake：新メーリングリスト＆ウェブサイト

Mandrake はまた、新しいウェブサイトもスタートさせました。 MandrakeUser.org （英語） です。

ご想像の通り、「知識ベース」であり、 Linux-Mandrake ユーザのためのコミュニティサイトとなることを 目的としています。

Zope 2.0.1

問題続きの ProFTPD

※ これは、9月22日時点での記事ですので、 ProFTPD に対してはこちら（日本語。上記記事）もご参照下さい。

ProFTPD 1.2.0pre6 を紹介しましたが、 この新バージョンにも攻撃法が見つかりました。

このため、少なくとも一つの Linux ディストリビューション (SuSE Linux) が セキュリティ勧告 (英語) を出して、ProFTPD をアンインストールするか、 少なくとも動かさないようにして、 SuSE に一緒に収録している Open BSD ベースの ftpd または anon-ftpd の使用を勧めています。 LinuxPPC は pre6 に対するアップデート (英語) をリリースしましたが、他のほとんどのディストリビューションは音沙汰がありません。おそらく様子を見ているのでしょう。

pre6 に対するパッチ (英語) が既に公開されています。新しいバージョンも、まもなくでしょう。

Wake-On-Lan 機能とセキュリティ

これはセキュリティホールなのでしょうか？ R.S. (Bob) Heuman 氏が Bugtraq メーリングリストで 質問 (英語) しました。

はい、どんなパケットでも電源が入るように設定されていれば、 そうなる可能性はあります。 けれども、「特別」なパケットでのみ起動するように設定することができ、 これ自体はセキュリティ問題ではなく、 システムが活発にメールを受け取っていないときや、使用されていないときに 電力を節約することができる、という機能となっている、ということです。 それよりも懸念されるべきなのは、 LAN 経由でリモートからシャットダウンできてしまうマシンだと、 Alan Cox 氏が コメント（英語） しています。 その中にはパスワードを使っているものもあるようですが、 パスワードは暗号化されていません。

※ Wake-on-Lan 機能を実現する LAN カードは、ある特別なパケットを認識す るハードウェアを備えています。通常、このパケットは特殊な「Ethernet フ レーム」なのでルーティングされませんから、インターネット経由で Wake-on-Lan を悪用するのは不可能と言えます。しかし同じ LAN に接続され ているマシンからこのパケットを送り付ける事は可能で、そういう意味でセキュ リティ上の弱点にはなり得ます。

※ 暗号化されていないパスワードが問題なのはもちろんですが、単純に暗号 化してあるだけでは不十分です。そのパケットが盗聴され、同一のパケットを 送りつけられれば、たとえ暗号化していても同じだからです。これを防ぐには、 時刻によって暗号化キーを変えたり (Kerberos 方式) 、サーバからランダム に生成したチャレンジ文字列を送り、クライアントがパスワードをキーとして それを暗号化したレスポンスを送り返す (チャレンジ・アンド・レスポンス方 式) を使う必要があります。マザーボードの BIOS でこういう実装を行うこと が困難なことを考えると、この機能はディスエーブルしておくに越したことは ないようです。もちろん UNIX 系 OS では、 単に遠隔シャットダウンというのであれば、 ハードウェアの助けを借りなくて 容易にかつ安全に実現できるすることができます。

Lynx にセキュリティホール

cfingerd のバッファオーバフロー

※ finger はネットワーク経由でユーザの情報を取得するための機能で、cfingerd はその機能を提供するデーモンの一つです。

ただし、このセキュリティホールはマシン内に閉じており、 ネットワーク経由で悪用されることはありません。

mars_nwe のアップデート

※ mars_new は Linux に NetWare サーバ機能を提供するフリーソフトウェアです。

• Vine Linux （日本語）
• LinuxPPC（英語）
• Red Hat Linux （英語。先週号（日本語）に掲載。）
• SuSE Linux（英語）
• Yellow Dog Linux （英語。先週号（日本語）に掲載。）

Lynx のアップデート

※ Lynx はテキストベースの web ブラウザです。特にパッチを当てなくても日本語の表示が可能なため、国内にも愛用者は多いと思われます。

• SuSE Linux (英語)
• Yellow Dog Linux (英語)

pbpg のアップデート

※ pbpg は Linux においてアマチュア無線衛星との通信を行うためのソフトウェアです。

• SuSE Linux (英語)

sccw のアップデート

※ sccw はサウンドカードを使って Linux 上でモールス信号の練習を行うプログラムです。

• SuSE Linux (英語)

XFree86 3.3.5

• Red Hat Linux (英語)

FreeS/WAN の詳細リソース

※ FreeS/WAN - Linux におけるフリーの IPSEC の実装です。

※ IPSEC - TCP/IP 上で暗号化通信を行うための 標準です。IP レベルでの認証・暗号化によっ て VPN (Virtual Private Network) を提供し ます。PGP や ssh と違い、エンドユーザ（や アプリケーション）が意識することなく、IP より上のレイヤの通信をすべて保護します。 （しかし、VPN から出てしまった情報はもは や保護されないので、例えばメールの内容を 保護したい場合にはやはり PGP 等が必要にな ります。）

FreeS/WAN にはまだいくつかの制限がありますが、 非常に優れて開発されており、 すでにオリジナルのリリースバージョンよりもずっと改良されています。

「FreeS/WAN の目的は、 盗み聞きから、 急成長中のインターネットコミュニティを、 安価な PC を使って保護するということです。 これは、民間人による盗聴に限らず、 むしろ政府関連の組織からの保護というものでもあります。」

Linux ベースのファイアウォール Bifrost

※ ファイアウォール - 「防火壁」を意味する名前が示す通り、会社や学校等の内部のネットワークとインターネットとの境目に設置されて、不正な侵入や機密情報の漏洩等を防ぐ事を目的とした特殊なコンピュータのことです。

※ フラッシュメモリ - 電気的に書き換えが可能な ROM の一種。ハードディスクを内蔵出来ないデジタルカメラや PDA 等でディスクの代わりによく使用されています。ファイアウォールにフラッシュメモリを使用する事の利点はいくつかありますが、第一に不正な改暫を防げる事、第二に予期せぬ電源断や停電に強い事、第三にハードディスクよりも信頼性が高い事です。

(Thanks to Karl-Koenig Koenigsson)

関連 URL

LWN

セキュリティ原文（英語）(9/23)

LWN

セキュリティ原文（英語）(9/30)