-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-AT-2000-0001 JPCERT/CC 緊急報告 - IMAP から POP2 への変換サーバプログラムについて 発 行 日: 2000/03/13 有効期限: 2000/03/21 ====================================================================== I. 状況説明 IMAP サーバプログラムを含む配布パッケージには、IMAP から他のプロトコ ルへの変換サーバプログラムも含まれる場合があります。そのうち、POP2 へ の変換サーバプログラムである ipop2d のいくつかの実装には、セキュリティ 上の弱点が含まれています (この弱点は、参考情報 [1] [2] [3] で紹介され ている IMAP サーバプログラムの弱点とは異なるものです)。 JPCERT/CC は、POP2 サーバの探索と思われるアクセスや、この弱点を用い たアクセスに関して報告を受け取っています。POP2 によるサービスを直ちに 停止するか、もしくは、セキュリティ上の弱点を含むプログラムを直ちにバー ジョンアップすることを推奨します。 II. 想定される影響 弱点を含む ipop2d が動作するホストにおいて、任意のプログラムをリモー トから nobody ユーザの権限で実行される (nobody ユーザの権限を取得され る) 可能性があります。 その結果として、たとえば、踏み台とされ、サイト内外の他のホストに影響 を与える可能性があります。あるいは、システムに他のセキュリティ上の問題 が存在する場合には、nobody 権限を介して管理者 (root) 権限を取得される 可能性もあります。管理者権限を取得されると、システムファイルや設定の改 ざんを含む、任意の操作を実行される可能性があります。 III. POP2 サーバの確認方法 IMAP サーバプログラムや OS によっては、標準的な設定で POP2 (変換) サー バがインストールされる場合もあります。POP2 サーバを利用していなくとも、 既にインストールされ利用できる状態になっていないかどうか、改めて確認さ れることを推奨します。 典型的な環境では、以下のコマンドを入力することにより、POP2 サーバの 動作状況を確認することが可能です。 % telnet localhost 109 POP2 サーバが動作していない場合には、以下のような出力が得られます。 Trying 127.0.0.1... telnet: Unable to connect to remote host: Connection refused POP2 サーバが動作している場合には、たとえば以下のような出力が得られま す。 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. + POP2 host.example.com v4.55 server ready POP2 サーバの名称やバージョンにより、出力されるメッセージは異なります。 (注) POP2 (POP バージョン 2) のサーバは、通常、TCP のポート 109 番にて 接続を受け付けるように設定されます。現在単に POP と呼ばれているプロト コルは、おそらく POP3 (POP バージョン 3) です (こちらは TCP のポート 110 番にて接続を受け付けるように設定されます)。 IV. 対策 セキュリティ上の弱点を含む POP2 変換サーバプログラムがシステムにイン ストールされている場合には、直ちに次の (1)(2) いずれかの対策をとること を強く推奨します。 また、既に攻撃を受け、何らかの影響を受けた可能性が否定できない場合に は、上記の対策に加え、再発防止のため (3) の対策をとることを推奨します (参考情報 [2] もご覧ください)。 なお、(1)(2) については、不審なアクセスを受けていない場合でも、予防 対策として実施することを推奨します。 (1) POP2 によるサービスの停止 POP2 によるサービスの必要がなければ、POP2 (変換) サーバによるサー ビスを停止することを推奨します。 典型的なシステムでは、/etc/inetd.conf ファイル中にある pop2 (もし くは、/etc/services ファイル中で 109/tcp に対して定義されている名 称) の設定行を無効にしたうえで、inetd プロセスに -HUP シグナルを送 るか、あるいはシステムを再起動することにより、サービスを停止するこ とができます。 IMAP ないし POP バージョン 3 によりサービスを行なっている場合でも、 POP2 を使用していなければ、ipop2d によるサービスを停止することがで きます。 (2) POP2 変換サーバプログラムのバージョンアップ セキュリティ上の弱点を含むバージョンの ipop2d を使用しており、サー ビスを停止することができない場合には、最新版のプログラムにバージョ ンアップすることを推奨します。 ワシントン大学で開発された IMAP の実装の最新版 (現時点では imap-4.7b) は下記で公開されています。 ftp://ftp.cac.washington.edu/imap/ JPCERT/CC では、この弱点が imap-4.4 の ipop2d (v4.46) および以前の 版に含まれていることを確認しています。imap-4.5 の ipop2d (v4.51) および imap-4.7b の ipop2d (v4.55) では、この弱点は修正されていま す。 なお、ipop2d をバージョンアップする際には、imapd および ipop3d の バージョンについても念のため確認することを推奨します (参考情報 [1] [2] [3])。 (3) システムの再構築 nobody 権限に留まらず、管理者権限を取得されると、ログやシステムプ ログラム、設定ファイル等を改ざんされる可能性があります。これらの可 能性が否定できない場合には、単純かつ確実な手段としてシステムの再構 築を行なうことが考えられます。 バックアップされた情報には、既に改ざんされたプログラムや設定が含ま れているおそれがあります。再構築の際には、それらを復元しないように 注意します。 また、このアクセスの影響を受け、アカウント情報が漏えいした可能性が 否定できない場合には、root を含む全アカウントのパスワードを変更し ます。 V. 参考情報 [1] 緊急報告 - IMAP サーバプログラムを悪用したアタック http://www.jpcert.or.jp/info/97-0004/ [2] CA-97.09.imap_pop http://www.cert.org/advisories/CA-97.09.imap_pop.html [3] CA-98.09.imapd http://www.cert.org/advisories/CA-98.09.imapd.html [4] 技術メモ - コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/tech/99-0002/ __________ 注: JPCERT/CC は、この文書に記載された情報の内容が正確であることに努め ておりますが、正確性を含め一切の品質についてこれを保証するものではあり ません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられ る行動 / あるいはとられなかった行動によって引き起こされる結果に対して、 JPCERT/CC は何ら保障を与えるものではありません。 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的とし たものではありません。また、この文書は、特定の個人や組織に対する個別の コンサルティングを目的としたものではありません。個別の問題に関するお問 い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承く ださい。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増 加することが予想されるため、お答えできる場合でもご回答が遅れる可能性が あることを何卒ご承知おきください。 __________ 2000 (C) JPCERT/CC この文書を転載する際には、全文を転載してください。また、転載は2000年 3月21日以降は行なわないようにしてください。なお、これは、この文書の内 容が2000年3月21日まで有効であることを保障するものではありません。情報 は更新されている可能性がありますので、最新情報については JPCERT/CC の Web サイト http://www.jpcert.or.jp/ を参照してください。 __________ 更新履歴 2000-03-13 初版 __________ JPCERT/CC (コンピュータ緊急対応センター) は、インターネットを介して 発生する各種のコンピュータセキュリティインシデントに際して、システム運 用管理の立場から、日本国内のシステムに関するコーディネーションを行なっ ている組織です。 JPCERT/CC の所定の報告様式は次の URL にあります。 http://www.jpcert.or.jp/contact.html 報告様式は、 info@jpcert.or.jp までお送りください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBOMySS4x1ay4slNTtAQFbrQP/QgrmPWrKftJKwTGUDR84FYIchcJCBfc4 +Z4JfdMhuqZ1OtxBf+dQN/yQ+F1Qk9RJmj0Rs7JN0ugtp3tCcJ/O3aJax1jjjEiB 6ZZRR/c1/6gdu+kc+wl1G4Y+0zCRjO6T90CVyQwbylrqQcbywg67qItdZ96nFW+r fujXm+Wj5eg= =aU20 -----END PGP SIGNATURE-----