======================================================================
JPCERT-E-INF-97-0004-01
JPCERT/CC
初 版: 1997/09/09 (Ver.01)有効期限: 1997/09/09最新情報: http://www.jpcert.or.jp/info/97-0004/======================================================================
I. 状況説明
いくつかの IMAP サーバーのインプリメンテーション、および、IMAP サーバーと協調して動作するように設計されたいくつかの POP サーバーのインプリメンテーションには、セキュリティ上の弱点が含まれています。これらの弱点を悪用しようとする不正アクセスについて、JPCERT/CC は報告を受け取りました。
セキュリティ上の弱点を含む IMAP サーバー・プログラムまたは POP サーバー・プログラムがインストールされており、かつサービスを受けつける設定になっているシステムでは、リモートから管理者 (root) 権限で、任意のコマンドを実行されたり、あるいは任意のプログラムを送り込まれた上でそれらを実行される可能性があります。この弱点が悪用されると、ホストのパスワード・ファイル等のセキュリティ上重要なファイルを改ざんされたり、その他さまざまな不正アクセスを管理者権限で実行される可能性もあります。
JPCERT/CC は、これらのセキュリティ上の弱点を含むサーバー・プログラムを直ちにバージョン・アップする、あるいはサービスを使用不能にすることを推奨します。
II. 想定される影響
直接の影響としては、
・攻撃者にリモートから管理者 (root) 権限を不正に入手される
可能性があります。その際に、
・不正なプログラムを送り込まれ、それを管理者権限で実行される
可能性があります。また、それらを利用して、ホストのパスワード・ファイル等セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正アクセスを管理者権限で実行される可能性があります。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあります。
III. 対策
セキュリティ上の弱点を含む IMAP および POP サーバー・プログラムがシステムにインストールされている場合には、早急に次の (1)(2) いずれかの対策をとられることを強く推奨します。
OS によっては、標準的な設定で IMAP サーバーがインストールされている場合もあるため、IMAP サーバーを利用していなくても、既にインストールされ利用できる状態になっていないかどうか、改めて確認されることを推奨します。
また、すでに攻撃を受け、管理者 (root) 権限を悪用された可能性が否定できない場合には、上記の対策に加え、再発防止のため (3)(4) の対策をとられることを推奨します。
(1) IMAP および POP サーバー・プログラムのバージョン・アップ
(2) IMAP および POP プロトコルによるサービスの停止
(3) 全ユーザーのパスワードの変更と不要なアカウントの削除
(4) システムの再構築
(5) 監視用ソフトウェアのインストール
いずれの場合においても、念のため (5) の予防策をあわせて実行されることを推奨します。
(1) IMAP および POP サーバー・プログラムのバージョン・アップ
セキュリティ上の弱点を含むバージョンの IMAP および POP サーバー・
プログラムを利用しており、サービスを停止することができない場合には、
直ちに最新版にバージョン・アップすることを強く推奨します。
JPCERT/CC は、ワシントン大学で開発された IMAP4 にセキュリティ上の
弱点が含まれることを確認しています。このバージョンを使用しているホ
ストは直ちに IMAP4rev1 以降の版にバージョン・アップすることを推奨
します。その他のインプリメンテーション、バージョン、およびバージョ
ン・アップに必要な情報の所在については、参考情報 V. をご参照くださ
い。
直ちにバージョン・アップすることができない場合には、一時的にサービ
スを停止するか、あるいは (5) に述べるソフトウェアを用いて IMAP お
よび POP プロトコルによるサービスの利用を特定のマシンのみに規制す
ることを推奨します。
(2) IMAP および POP プロトコルによるサービスの停止
サービスを停止することが可能な場合には、直ちに IMAP および POP プ
ロトコルによるサービスを停止することを強く推奨します。
典型的なシステムでは、/etc/inetd.conf ファイル中にある imap および
pop (ないし pop2, pop3) の設定行を無効にしたうえで、inetd プロセス
に -HUP シグナルを送るか、あるいはシステムを再起動することにより、
サービスを停止することができます。
(3) 全ユーザーのパスワード変更と不要なアカウントの削除
この不正アクセスが成功した場合には、当該ホストに登録されているユー
ザーのアカウント名とパスワードが流出している可能性があります。そこ
で、登録している全ユーザーのパスワードを変更します。パスワードを設
定する際には、容易に類推されないようなパスワード文字列を選択します。
また不要なアカウントが登録されている場合には、それらのアカウントを
削除します。
(4) システムの再構築
管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ
たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能
性があります。外部からのアクセスログ等を確認し、ホストへの不正侵入
の可能性が否定できない場合には、システムの再構築を行なう必要があり
ます。
(5) 監視用ソフトウェアのインストール
監視用ソフトウェアとして、tcp_wrapper をインストールし、外界からの
接続を監視・規制することは、不正アクセス対策として効果的です。また、
アクセス制御機能だけでなく、「ドメイン somewhere.co.jp からリモー
ト・ログインの接続があったときに、管理者にメールを送信する」といっ
た設定ができるようになります。
tcp_wrapper は以下の URL から入手することができます。
ftp://ftp.jpcert.or.jp/pub/cert/tools/tcp_wrappers/
IV. 参考情報
今回のアタックについては、以下の参考資料もご覧ください。
[Original]
ftp://info.cert.org/pub/cert_advisories/CA-97.09.imap_pop
[Mirror]
ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.09.imap_pop
[Original]
ftp://info.cert.org/pub/cert_summaries/CS-97.04
[Mirror]
ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.04
[Original]
http://www.secnet.com/sni-advisories/imap.advisory.03.02.97.html
________
<JPCERT/CC からのお知らせとお願い>
今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の様式
http://www.jpcert.or.jp/form.html
にご記載のうえ、関連するログファイルのメッセージとともに、
info@jpcert.or.jp
までお送りください。
JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、
http://www.jpcert.or.jp/
をご参照ください。_________
注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。
注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。_________
1997 (c) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、転載は1997年9月16日以降は行なわないようにしてください。なお、これは、この文書の内容が1997年9月16日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については
http://www.jpcert.or.jp/info/97-0004/
を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。
JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。
ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key
_________
更新履歴
1997/09/09 First Version.
前
コメント
共 有
