2006年07月14日
Subject: Update on compromise of gluck.debian.org, lock down of other debian.org machines
ひとまずgluckのサービスはひととおり復帰した模様。SSHサーバ鍵が変わっているので、いろいろ調整しないと…。
調査レポートによると――「とある」開発者の1人のアカウントがクラッカーに汚染された。このアカウントでgluck.debian.orgにリモートログインしたクラッカーは、つい先日に発表されたカーネルの権限昇格バグ"CVE2006-2451 prctl vulnerability"を使ってroot権限を奪取。少なくともpingコマンドが置き換えられていた。
汚染されたアカウントはほかの制限付きDebianホスト(メーリングリストやセキュリティなど)へのログイン権限はなかったため、汚染の拡散はない模様。
クラッカーが特定地域からログインしていることは把握されているが、汚染の原因となった実開発者からの聴取ではまだ理由ははっきりしていないとのこと。
gluckサーバ管理者はこの汚染発覚後にサービスを即座に停止し、ほかのサーバの更新も行って汚染がないことの確認を進めていった。gluckについてはhomeとorg(サービス関連)の再インストールを行った。また、侵入を防止するため、ユーザが配置していたGPG/SSHの秘密鍵の削除、GPG秘密鍵を配置していたユーザのアカウントロックと鍵リングからの削除、弱いパスワードを使っていたアカウントのロックを行った。
CVE2006-2451は、カーネル2.6.13〜2.6.16.23/2.6.17.3に影響する脆弱性であり、Sargeの2.6.8には影響しない。該当するバージョンを使っている場合には、2.6.16.24か2.6.17.4以上に更新すべきである。
――ということで、末端の脆弱なホストに対してローカルまたはリモートからアカウントを奪取し、それでターゲットにログインしてローカルでの権限昇格を狙うという、ありがちだけれども対策がしづらい(ホストの役割上ユーザーを締め出すこともできないし、ユーザー個々の脆弱性度合いの把握もできない)というパターンですな。
![[hatena]](http://d.hatena.ne.jp/images/b_entry_de.gif)
![[RSS]](/d/rss10.png)