======================================================================
JPCERT-E-INF-97-0002-01
JPCERT/CC
初 版: 1997/03/18 (Ver.01)有効期限: 1997/03/24最新情報: http://www.jpcert.or.jp/info/97-0002/======================================================================
I. 状況説明
JPCERT/CC は、ネットニュースの代表的なサーバ・プログラムである INN
(InterNetNews) のセキュリティホールを悪用しようとするコントロール・メッセージが、海外のサイトから流されているという報告を受けました。
INN がこのコントロール・メッセージを受信すると、ホストのパスワードファイル等のセキュリティ上重要なファイルや情報を特定のメールアドレスに送信するような不正なコマンドを実行しようとします。
また、コントロール・メッセージがニュースサーバを運用しているホストに配送されると、それらホストがインターネットに直接接続されているか、あるいは間接的に接続されているかを問わず、そのホストの情報が不正に盗まれる可能性があります。JPCERT/CC は、直ちに INN をバージョンアップする、あるいはパッチを当てることを推奨します。
II. 想定される影響
直接の影響としては、
・不正なコマンドの実行
と、それによる
・パスワード・ファイル等のセキュリティ上重要なファイルや情報の盗難
が主です。また、それらを利用してシステムに侵入されてしまうと、ルートのパスワードを見破られる等々さまざまな影響が考えられます。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあります。
III. INN のセキュリティホールを悪用したアタックの見分け方
INN のコントロール・メッセージのログファイル、もしくはニュース管理者に届いたメール中に /etc/passwd という文字列が含まれている場合は、不正なコントロール・メッセージによってパスワード・ファイルが流出している可能性があります。
また、INN が稼働しているホスト上で、オーナーが news である telnet プロセスあるいはその他の不審なプロセスが動作している場合、それらは不正なコントロール・メッセージによって起動された可能性があります。確認の上、直ちにそれらの不審なプロセスを停止することを推奨します。
また、Sendmail のログファイル中に from=news で始まる、心当りのないアドレスへのメール送信記録がないか調査することを推奨します。もしそのような記録があった場合は、セキュリティ上重要な情報 (パスワード・ファイル等)
が流出している可能性があります。
なお、これらのログが見当たらない場合でも、今後、不正なコントロール・メッセージが送られてくる可能性もあるため、IV 章の対策を講じられることを強く推奨します。
IV. 対策
不正アクセスが成功した場合には、当該コンピュータに登録されている利用者のパスワードが流出している可能性があります。その場合には、再発防止のため、少なくとも次のような対策をとられることを推奨します。
(1) INN をバージョンアップする
(2) シャドーパスワードを利用する
(3) 全ユーザのパスワードを変更する
(4) システムを再構築する
なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予防対策として実行しておかれることを推奨します。
(1) INN のバージョンアップ
INN を最新の版 (1.5.1) にバージョンアップします。今回悪用されたセ
キュリティホールは、INN のバージョン 1.5.1 では修正済みです。INN
の最新版に関する情報は、以下の Web サーバ上にある INN のページで公
開されています。
http://www.isc.org/
なんらかの運用上の理由により 1.5.1 にバージョンアップできない場合
でも、サービスを止めることなく適用できる、1.5 以前のバージョンに対
する応急手当てのパッチが提供されています。現在提供されているパッチ
は、次の通りです。最低限これだけは行うことを推奨します。なおパッチ
の最新版についても上記 URL をチェックしてください。
バージョン inn1.5 に対する "security-patch.01"
ftp://ftp.isc.org/isc/inn/patches/security-patch.01
MD5 (security-patch.01) = 06131a3d1f4cf19d7d1e664c10306fa8
バージョン inn1.4sec に対する "security-patch.02"
ftp://ftp.isc.org/isc/inn/patches/security-patch.02
MD5 (security-patch.02) = 2f14da823585920063c3994e6c24cb7c
バージョン inn1.4unoff3, inn1.4unoff4 に対する "security-patch.03"
ftp://ftp.isc.org/isc/inn/patches/security-patch.03
MD5 (security-patch.03) = 69bd1c1a6487daefb51c08bc468ec576
また INN を更新する場合は、単にプログラムを入れ替えるだけでなく、
各種スクリプト・ファイルや設定ファイル等も、そのバージョンで提供さ
れているものに更新されることを推奨します。
(2) シャドーパスワードの利用
OS がシャドーパスワードの機能を提供しているならば、それを使用しま
す。
(3) 全ユーザのパスワード変更
登録している全ユーザのパスワードを変更します。その際には、容易に類
推されないようなパスワードを設定する必要があります。
(4) システムの再構築
入手したパスワードを用いて、TELNET や FTP などでホストに侵入されて
いる可能性もあります。特にシステム管理者のパスワードが破られると、
ログを改ざんされたり、トロイの木馬をシステム内部に仕掛けられている
場合もあります。そこで、外部からのアクセスログを確認し、ホストへの
不正侵入の可能性が否定できない場合には、システムの再構築を行う必要
があります。
V. 参考情報
INN のセキュリティホールについては CERT(sm) Advisory CA-97.08 に詳細な情報があります。
ftp://info.cert.org/pub/cert_advisories/CA-97.08.innd
最近のインターネットの不正アクセスに対する一般的な傾向は最新の
CERT(sm) Summary に参考となる情報があります。
ftp://info.cert.org/pub/cert_summaries/CS-97.01
上記の情報は、それぞれ次の場所にミラーがあります。
ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.08.innd
ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.01
- ----------<JPCERT/CC からのお知らせとお願い>
今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の様式
http://www.jpcert.or.jp/form.html
にご記載のうえ、関連するログファイルのメッセージとともに、
info@jpcert.or.jp
までお送りください。
JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、
http://www.jpcert.or.jp/
をご参照ください。
- ----------注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。
注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。
- ----------1997 (c) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、転載は1997年3月24日以降は行なわないようにしてください。なお、これは、この文書の内容が1997年3月24日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については
http://www.jpcert.or.jp/info/97-0002/
を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。
- ----------更新履歴
1997/03/18 First Version.