-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-E-INF-97-0002-03 JPCERT/CC 緊急報告 - ネットワークニュースのサービスを悪用したアタック - 初 版: 1997/03/18 (Ver.01) 発 行 日: 1997/07/02 (Ver.03) 有効期限: 1997/07/11 最新情報: http://www.jpcert.or.jp/info/97-0002/ ====================================================================== 本文書の Ver. 02 の発行後に、INN の新しいパッチが発表されました。この パッチは、1.5.1 にも適用する必要があります。詳細につきましては「IV. 対 策」を参照ください。 I. 状況説明 JPCERT/CC は、ネットニュースの代表的なサーバ・プログラムである INN (InterNetNews) のセキュリティホールを悪用しようとするコントロール・メッ セージが、海外のサイトから流されているという報告を受けました。 INN がこのコントロール・メッセージを受信すると、ホストのパスワードファ イル等のセキュリティ上重要なファイルや情報を特定のメールアドレスに送信 するような不正なコマンドを実行しようとします。 また、コントロール・メッセージがニュースサーバを運用しているホストに 配送されると、それらホストがインターネットに直接接続されているか、ある いは間接的に接続されているかを問わず、そのホストの情報が不正に盗まれる 可能性があります。JPCERT/CC は、直ちに INN をバージョンアップする、あ るいはパッチを当てることを推奨します。 II. 想定される影響 直接の影響としては、 ・不正なコマンドの実行 と、それによる ・パスワード・ファイル等のセキュリティ上重要なファイルや情報の盗難 が主です。また、それらを利用してシステムに侵入されてしまうと、ルートの パスワードを見破られる等々さまざまな影響が考えられます。さらに侵入され たまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可 能性もあります。 III. INN のセキュリティホールを悪用したアタックの見分け方 INN のコントロール・メッセージのログファイル、もしくはニュース管理者 に届いたメール中に /etc/passwd という文字列が含まれている場合は、不正 なコントロール・メッセージによってパスワード・ファイルが流出している可 能性があります。 また、INN が稼働しているホスト上で、オーナーが news である telnet プ ロセスあるいはその他の不審なプロセスが動作している場合、それらは不正な コントロール・メッセージによって起動された可能性があります。確認の上、 直ちにそれらの不審なプロセスを停止することを推奨します。 また、Sendmail のログファイル中に from=news で始まる、心当りのないア ドレスへのメール送信記録がないか調査することを推奨します。もしそのよう な記録があった場合は、セキュリティ上重要な情報 (パスワード・ファイル等) が流出している可能性があります。 なお、これらのログが見当たらない場合でも、今後、不正なコントロール・ メッセージが送られてくる可能性もあるため、IV 章の対策を講じられること を強く推奨します。 IV. 対策 不正アクセスが成功した場合には、当該コンピュータに登録されている利用 者のパスワードが流出している可能性があります。その場合には、再発防止の ため、少なくとも次のような対策をとられることを推奨します。 (1) INN をバージョンアップする (2) シャドーパスワードを利用する (3) 全ユーザのパスワードを変更する (4) システムを再構築する なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予 防対策として実行しておかれることを推奨します。 (1) INN のバージョンアップ INN を最新の版 (1.5.1) にバージョンアップし、そのうえでパッチ "security-patch.05" を当てます。このパッチは下記で公開されています。 ftp://ftp.isc.org/isc/inn/patches/security-patch.05 ftp://ftp.riken.go.jp/pub/net/news/inn/patches/security-patch.05 MD5 (security-patch.05) = 8f64bd57909bbfba08e56c965ec80dcd また、lNNの最新版に関する情報は、以下の Web サーバ上にある INN の ページで公開されています。 http://www.isc.org/ なんらかの運用上の理由により 1.5.1 にバージョンアップできない場合 でも、サービスを止めることなく適用できる、1.5 以前のバージョンに対 する応急手当てのパッチが提供されています。現在提供されているパッチ は次の通りです。これらのパッチを適用したあとで、さらに上記 "security-patch.05" を適用します。なおパッチの最新版について も上記 URL をチェックしてください。 バージョン inn1.5 に対する "security-patch.01" ftp://ftp.isc.org/isc/inn/patches/security-patch.01 MD5 (security-patch.01) = 06131a3d1f4cf19d7d1e664c10306fa8 バージョン inn1.4sec に対する "security-patch.02" ftp://ftp.isc.org/isc/inn/patches/security-patch.02 MD5 (security-patch.02) = 2f14da823585920063c3994e6c24cb7c バージョン inn1.4unoff3, inn1.4unoff4 に対する "security-patch.03" ftp://ftp.isc.org/isc/inn/patches/security-patch.03 MD5 (security-patch.03) = 69bd1c1a6487daefb51c08bc468ec576 また INN を更新する場合は、単にプログラムを入れ替えるだけでなく、 各種スクリプト・ファイルや設定ファイル等も、そのバージョンで提供さ れているものに更新されることを推奨します。 注記: security-patch.04 は security-patch.05 に変更されました。 (2) シャドーパスワードの利用 OS がシャドーパスワードの機能を提供しているならば、それを使用しま す。 (3) 全ユーザのパスワード変更 登録している全ユーザのパスワードを変更します。その際には、容易に類 推されないようなパスワードを設定する必要があります。 (4) システムの再構築 入手したパスワードを用いて、TELNET や FTP などでホストに侵入されて いる可能性もあります。特にシステム管理者のパスワードが破られると、 ログを改ざんされたり、トロイの木馬をシステム内部に仕掛けられている 場合もあります。そこで、外部からのアクセスログを確認し、ホストへの 不正侵入の可能性が否定できない場合には、システムの再構築を行う必要 があります。 V. 参考情報 1997年3月18日に CERT より今回の INN への攻撃に関する CERT(sm) Summary CS-97.02 SPECIAL EDITION が発行されました。 ftp://info.cert.org/pub/cert_summaries/CS-97.02 INN のセキュリティホールについては CERT(sm) Advisory CA-97.08 に詳細 な情報があります。 ftp://info.cert.org/pub/cert_advisories/CA-97.08.innd 最近のインターネットの不正アクセスに対する一般的な傾向は最新の CERT(sm) Summary に参考となる情報があります。 ftp://info.cert.org/pub/cert_summaries/CS-97.01 上記の情報は、それぞれ次の場所にミラーがあります。 ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.08.innd ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.01 ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.02 - ---------- <JPCERT/CC からのお知らせとお願い> 今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな 不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供く ださいますようお願いします。JPCERT/CC の所定の様式 http://www.jpcert.or.jp/form.html にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 - ---------- 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 - ---------- 1997 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、転載は1997年 7月11日以降は行なわないようにしてください。なお、これは、この文書の内容 が1997年7月11日まで有効であることを保障するものではありません。情報は随 時更新されている可能性がありますので、最新情報については http://www.jpcert.or.jp/info/97-0002/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key - ---------- 更新履歴 1997/07/02 "security-patch.05" に関する記述を追加 1997/03/19 CERT(sm) Summary CS-97.02 に関する記述を追加 JPCERT/CC の PGP 公開鍵の URL を追加 1997/03/18 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBM7om0Ix1ay4slNTtAQGPgQP/bXXY/Gnx3CLvRW214lJVjre0M8DzKE4a 9Wew5bNuwn8nIogxZDPSuQw3WQsqCDKPfllivQKGwAjK2VJ/AUbrKpC8OfB3nSJc m1317E5BI2OhzCL8pP97+w1EyzDOfwvoTNY6CeV9Emmork0iEJV6gqULICNn6aWd 93JNUuRrBJs= =fmEX -----END PGP SIGNATURE-----