Debian サーバの侵害からの復旧について

2006 年 7 月 13 日

Debian サーバの核となっているものの一つが侵害後に再インストールされ、 サービスが復旧されました。7月12日に gluck.debian.org というホストが Linux カーネルの脆弱性を利用した侵害を受けたものです。 侵入者は汚染した開発者のアカウントを使ってこのサーバにアクセスを行いました。

影響を受けて一時的に停止していたサービスは以下のとおりです: cvsddtplintianpeoplepopconplanetportsrelease

詳細について

少し前に少なくとも開発者アカウントの一つが汚染され、このアカウントが攻撃者によって Debian のサーバへのアクセスを行うために使われました。そして Linux カーネルに最近発見されたローカルから root 権限を奪取する脆弱性が利用され、このサーバの root 権限が奪われました。

7月12日 02:43(UTC) に Debian のサーバ管理者らが怪しげなメールと警告を受けとりました。 続く調査が明らかにしたところでは、開発者のアカウントが汚染され、 ローカルからカーネルの脆弱性が攻撃され root 権限を奪取されたということでした。

7月12日 04:30(UTC) に gluck はオフラインとなり、信頼出来るメディアから起動されました。 他の Debian サーバは、同様に侵害をうけていないかを調査するためにロックされました。 これらはロックが解除される前に、修正されたカーネルへとアップグレードされます。

カーネルへの攻撃から Debian サーバの管理者らが気づくまでの間が短時間だったため、 攻撃者が大きなダメージをあたえる時間や考えを持つには至りませんでした。 明白に汚染されたバイナリは /bin/ping のみです。

侵害されたアカウントは、制限がかかっている Debian ホストにアクセスする権限を与えられてはいませんでした。 つまり、通常のアーカイブやセキュリティアーカイブは侵害されることがなかったということです。

開発者のパスワードに対する再調査を行った結果、 脆弱なパスワードをもった多くのアカウントがロックされました。

こちらでマシンの状態が確認できます。

カーネルの脆弱性について

今回の侵害に使われたカーネルの脆弱性は CVE-2006-2451 として記載されています。これは Linux カーネルの 2.6.13 から 2.6.17.4 のみに存在するもので、2.6.16 では 2.6.16.24 未満に存在します。 このバグはローカルユーザがルート権限を prctl 関数の PR_SET_DUMPABLE 引数を利用して取得するものです。この引数は、 ユーザが権限を持っていないディレクトリに対してプログラムがコアダンプを吐く際に利用します。

現在の安定版リリース Debian GNU/Linux 3.1 別名「Sarge」は Linux カーネル 2.6.8 を含んでおり、これはこの問題の影響を受けません。侵害を受けたサーバは Linux カーネル 2.6.16.18 で動作していました。

Linux カーネルバージョン 2.6.13 以上 2.6.17.4 未満を利用している場合、 あるいは Linux カーネル 2.6.16 以上で 2.6.16.24 未満の場合は、 ただちにカーネルをアップデートしてください。

Debian について

Debian GNU/Linux はフリーなオペレーティングシステムであり、 インターネットを通じて協力しあう世界中の 1000 名以上のボランティアによって開発されています。Debian のフリーソフトウェアへの献身、非営利組織であること、オープンな開発モデルは GNU/Linux ディストリビューションの中でも Debian を特別なものとしています。

Debian プロジェクトの強さの鍵は、ボランティアベースであること、Debian 社会契約への献身的な努力、 可能な限り最良のオペレーティングシステムを提供することへの約束によるものです。

連絡先について

詳細な情報については、Debian の web ページ https://www.debian.org/ を参照するか、<press@debian.org> 宛へメールを送ってください。