======================================================================
JPCERT-AT-2000-0001
JPCERT/CC
発 行 日: 2000/03/13有効期限: 2000/03/21======================================================================
I. 状況説明
IMAP サーバプログラムを含む配布パッケージには、IMAP から他のプロトコルへの変換サーバプログラムも含まれる場合があります。そのうち、POP2 への変換サーバプログラムである ipop2d のいくつかの実装には、セキュリティ上の弱点が含まれています (この弱点は、参考情報 [1] [2] [3] で紹介されている IMAP サーバプログラムの弱点とは異なるものです)。
JPCERT/CC は、POP2 サーバの探索と思われるアクセスや、この弱点を用いたアクセスに関して報告を受け取っています。POP2 によるサービスを直ちに停止するか、もしくは、セキュリティ上の弱点を含むプログラムを直ちにバージョンアップすることを推奨します。
II. 想定される影響
弱点を含む ipop2d が動作するホストにおいて、任意のプログラムをリモートから nobody ユーザの権限で実行される (nobody ユーザの権限を取得される) 可能性があります。
その結果として、たとえば、踏み台とされ、サイト内外の他のホストに影響を与える可能性があります。あるいは、システムに他のセキュリティ上の問題が存在する場合には、nobody 権限を介して管理者 (root) 権限を取得される可能性もあります。管理者権限を取得されると、システムファイルや設定の改ざんを含む、任意の操作を実行される可能性があります。
III. POP2 サーバの確認方法
IMAP サーバプログラムや OS によっては、標準的な設定で POP2 (変換) サーバがインストールされる場合もあります。POP2 サーバを利用していなくとも、既にインストールされ利用できる状態になっていないかどうか、改めて確認されることを推奨します。
典型的な環境では、以下のコマンドを入力することにより、POP2 サーバの動作状況を確認することが可能です。
% telnet localhost 109
POP2 サーバが動作していない場合には、以下のような出力が得られます。
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
POP2 サーバが動作している場合には、たとえば以下のような出力が得られます。
Trying 127.0.0.1...
Connected to localhost.
Escape character is #&39;^]#&39;.
+ POP2 host.example.com v4.55 server ready
POP2 サーバの名称やバージョンにより、出力されるメッセージは異なります。
(注) POP2 (POP バージョン 2) のサーバは、通常、TCP のポート 109 番にて接続を受け付けるように設定されます。現在単に POP と呼ばれているプロトコルは、おそらく POP3 (POP バージョン 3) です (こちらは TCP のポート110 番にて接続を受け付けるように設定されます)。
IV. 対策
セキュリティ上の弱点を含む POP2 変換サーバプログラムがシステムにインストールされている場合には、直ちに次の (1)(2) いずれかの対策をとることを強く推奨します。
また、既に攻撃を受け、何らかの影響を受けた可能性が否定できない場合には、上記の対策に加え、再発防止のため (3) の対策をとることを推奨します(参考情報 [2] もご覧ください)。
なお、(1)(2) については、不審なアクセスを受けていない場合でも、予防対策として実施することを推奨します。
(1) POP2 によるサービスの停止
POP2 によるサービスの必要がなければ、POP2 (変換) サーバによるサー
ビスを停止することを推奨します。
典型的なシステムでは、/etc/inetd.conf ファイル中にある pop2 (もし
くは、/etc/services ファイル中で 109/tcp に対して定義されている名
称) の設定行を無効にしたうえで、inetd プロセスに -HUP シグナルを送
るか、あるいはシステムを再起動することにより、サービスを停止するこ
とができます。
IMAP ないし POP バージョン 3 によりサービスを行なっている場合でも、
POP2 を使用していなければ、ipop2d によるサービスを停止することがで
きます。
(2) POP2 変換サーバプログラムのバージョンアップ
セキュリティ上の弱点を含むバージョンの ipop2d を使用しており、サー
ビスを停止することができない場合には、最新版のプログラムにバージョ
ンアップすることを推奨します。
ワシントン大学で開発された IMAP の実装の最新版 (現時点では
imap-4.7b) は下記で公開されています。
ftp://ftp.cac.washington.edu/imap/
JPCERT/CC では、この弱点が imap-4.4 の ipop2d (v4.46) および以前の
版に含まれていることを確認しています。imap-4.5 の ipop2d (v4.51)
および imap-4.7b の ipop2d (v4.55) では、この弱点は修正されていま
す。
なお、ipop2d をバージョンアップする際には、imapd および ipop3d の
バージョンについても念のため確認することを推奨します (参考情報 [1]
[2] [3])。
(3) システムの再構築
nobody 権限に留まらず、管理者権限を取得されると、ログやシステムプ
ログラム、設定ファイル等を改ざんされる可能性があります。これらの可
能性が否定できない場合には、単純かつ確実な手段としてシステムの再構
築を行なうことが考えられます。
バックアップされた情報には、既に改ざんされたプログラムや設定が含ま
れているおそれがあります。再構築の際には、それらを復元しないように
注意します。
また、このアクセスの影響を受け、アカウント情報が漏えいした可能性が
否定できない場合には、root を含む全アカウントのパスワードを変更し
ます。
V. 参考情報
[1] 緊急報告 - IMAP サーバプログラムを悪用したアタック
http://www.jpcert.or.jp/info/97-0004/
[2] CA-97.09.imap_pop
http://www.cert.org/advisories/CA-97.09.imap_pop.html
[3] CA-98.09.imapd
http://www.cert.org/advisories/CA-98.09.imapd.html
[4] 技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/tech/99-0002/
__________
注: JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。
注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。また、この文書は、特定の個人や組織に対する個別のコンサルティングを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。
__________
2000 (C) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、転載は2000年3月21日以降は行なわないようにしてください。なお、これは、この文書の内容が2000年3月21日まで有効であることを保障するものではありません。情報は更新されている可能性がありますので、最新情報については JPCERT/CC のWeb サイト
http://www.jpcert.or.jp/
を参照してください。
__________
更新履歴
2000-03-13 初版
__________
JPCERT/CC (コンピュータ緊急対応センター) は、インターネットを介して発生する各種のコンピュータセキュリティインシデントに際して、システム運用管理の立場から、日本国内のシステムに関するコーディネーションを行なっている組織です。
JPCERT/CC の所定の報告様式は次の URL にあります。
http://www.jpcert.or.jp/contact.html
報告様式は、
info@jpcert.or.jp
までお送りください。
JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。
ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key
前
コメント
共 有
