======================================================================
JPCERT-AT-2000-0010
JPCERT/CC
初 版: 1998/07/01 (Ver.01)発 行 日: 2000/08/25 (Ver.04)有効期限: 2000/08/31最新情報: http://www.jpcert.or.jp/at/2000/at000010.txt======================================================================
I. 状況説明
代表的な POP サーバプログラムである QPopper のいくつかのバージョンには、セキュリティ上の弱点が含まれています。JPCERT/CC は、これらの弱点に関連した不正アクセスについて、報告を受け取っています。
セキュリティ上の弱点を含むバージョンの QPopper がインストールされており、かつサービスを受けつける設定になっているシステムでは、リモートから管理者 (root) 権限で、任意のコマンドを実行されたり、あるいは任意のプログラムを送り込まれた上でそれらを実行される可能性があります。この弱点が悪用されると、ホストのパスワードファイル等のセキュリティ上重要なファイルを改ざんされたり、その他さまざまな不正アクセスを管理者権限で実行される可能性もあります。
JPCERT/CC は、セキュリティ上の弱点を含むバージョンの QPopper を直ちにバージョンアップするか、またはサービスを使用不能にすることを推奨します。
II. 想定される影響
直接の影響としては、
・攻撃者にリモートから管理者権限を不正に入手される
可能性があります。その際に、
・不正なプログラムを送り込まれ、それを管理者権限で実行される
可能性があります。また、それらを利用して、ホストのパスワードファイル等セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正アクセスを管理者権限で実行される可能性があります。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあります。
III. POP サーバの確認方法
OS によっては、標準的な設定で QPopper が POP サーバとしてインストールされている場合もあります。POP サーバを利用していなくとも、既にインストールされ利用できる状態になっていないかどうか、改めて確認されることを推奨します。典型的な環境では、以下のコマンドを入力することにより確認することが可能です。
% telnet localhost 110
POP サーバが動作していない場合には、以下のような出力が得られます。
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
POP サーバが動作している場合には、たとえば以下のような出力が得られます。
Trying 127.0.0.1...
Connected to localhost.
Escape character is #&39;^]#&39;.
+OK QPOP (version 2.52) at host.somewhere.jp starting.
POP サーバの名称やバージョンにより、出力されるメッセージは異なります。
メッセージ中に「QPOP」ないし「QUALCOMM Pop server」という文字列が含まれている場合には、QPopper がインストールされており、利用できる状態になっています。メッセージ中にこれらの文字列が見当たらない場合でも、サーバの名称やバージョンに確証がない場合には、念のため IV 章の対策を構じられることを推奨します。
IV. 対策
セキュリティ上の弱点を含む QPopper がシステムにインストールされている場合には、早急に次の (1)(2) いずれかの対策をとられることを強く推奨します。
また、すでに攻撃を受け、管理者権限を悪用された可能性が否定できない場合には、上記の対策に加え、再発防止のため (3)(4) の対策をとられることを推奨します。
いずれの場合においても、念のため (5) の予防策をあわせて実行されることを推奨します。
(1) QPopper のバージョンアップ
POP サーバプログラムを利用しており、サービスを停止できない場合には、
直ちに OS のベンダが提供するパッチを当てるか、バージョン 2.5 以降
にアップグレードすることを推奨します。
QPopper の最新版は以下から入手できます。
http://www.eudora.com/qpopper/
直ちにバージョンアップすることができない場合には、一時的にサービス
を停止するか、あるいは (5) に述べるソフトウェアを用いて POP プロト
コルによるサービスの利用を特定のマシンのみに規制することを推奨しま
す。
(2) POP プロトコルによるサービスの停止
サービスを停止することが可能な場合には、直ちに POP プロトコルによ
るサービスを停止することを強く推奨します。
典型的なシステムでは、/etc/inetd.conf ファイル中にある pop (ないし
pop3 等) の設定行を無効にしたうえで、inetd プロセスに -HUP シグナ
ルを送るか、あるいはシステムを再起動することにより、サービスを停止
することができます。
(3) 全ユーザのパスワード変更と不要なアカウントの削除
この不正アクセスが成功した場合には、当該ホストに登録されているユー
ザのアカウント名とパスワードが流出している可能性があります。そこで、
登録している全ユーザのパスワードを変更します。パスワードを設定する
際には、容易に類推されないようなパスワード文字列を選択します。また
不要なアカウントが登録されている場合には、それらのアカウントを削除
します。
(4) システムの再構築
管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ
たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能
性があります。外部からのアクセスログ等を確認し、ホストへの不正侵入
の可能性が否定できない場合には、システムの再構築を行なう必要があり
ます。
(5) 監視用ソフトウェアのインストール
監視用ソフトウェアとして、tcp_wrapper のようなツールをインストール
し、外界からの接続を監視・規制することは、不正アクセス対策として効
果的です。また tcp_wrapper では、アクセス制御機能だけでなく、「ド
メイン somewhere.co.jp からリモートログインの接続があったときに、
管理者にメールを送信する」といった設定も可能です。
tcp_wrapper は以下の URL から入手することができます。
http://www.cert.org/other_sources/tool_sources.html
________
<JPCERT/CC からのお知らせとお願い>
今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の様式
http://www.jpcert.or.jp/form.txt
にご記載のうえ、関連するログファイルのメッセージとともに、
info@jpcert.or.jp
までお送りください。
JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、
http://www.jpcert.or.jp/
をご参照ください。_________
注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。
注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。_________
1998,1999 (c) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、転載は2000年8月31日以降は行なわないようにしてください。なお、これは、この文書の内容が2000年8月31日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については
http://www.jpcert.or.jp/at/
を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。
JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。
http://www.jpcert.or.jp/jpcert.asc
_________
更新履歴
2000/08/25 参照 URL の更新1999/04/27 「III. POP サーバの確認方法」の記述を修正1998/07/02 QPopper のバージョンアップに関する記述を修正1998/07/01 First Version.