OpenSSH 情報

2008/08/23 - [Security][OpenSSH] RedHat Enterprise Linux *用*の opensshパッケージに侵入者が署名した可能性があり.

Red Hat Enterprise Linux 4, と Red Hat Enterprise Linux 5, Red Hat Enterprise Linux 4.5 Extended Update Support の openssh のパッケージが何者かにより書換えられ署名されていた模様です. RedHatのいくつかのサーバへの侵入により判明しました.

Red Hat Enterprise Linuxの公式なパッケージが書換えられていたわけではなく, Red Hat Enterprise Linuxで利用できるopensshパッケージに脆弱なものがあった模様です. 誤った情報を流してしまい申し訳ありません.

  1. Fedoraプロジェクトのサーバが侵入される. その中にFedoraのパッケージに自動的に署名するサーバが含まれていた.
  2. そのサーバを利用して脆弱なopensshのパッケージにRedHatの鍵で署名された. 侵入者がいくつかのopensshのパッケージに署名するチャンスがあった. 署名されたパッケージが公式な経路を通じて配布された形跡はない. ただし, 3rd Partyのレポジトリから配布された可能性は否定できない.
  3. 署名付きのパッケージがどこかで配布された. もし,そのopensshのパッケージをインストールしようとすると, RedHatの鍵で署名されているのでインストール時の署名の確認をすりぬけてしまう.

ということのようです.

参考:

以下のパッケージに署名されていた可能性があるようです.

RedHatによってアップデートが用意されています. なお, CentOSのパッケージは問題ないそうです. (www.centos.org - Forums - CentOS 5 - Security Support - Today's Security Announcement by RH ?). ただし, 脆弱なパッケージがあったとしたらCentOSや他のRedHat系のディストリビューションにもインストール可能と思われますので, チェックしたほうがよいでしょう.

コメント

じぇふ
1219482707 - Securityfocusの情報。
http://www.securityfocus.com/news/11532

トラックバック

♪8th Note♪:Fedoraプロジェクトがクラックされる、sshdパッケージに注意
 Linuxでは商用を含めるとRedHat系が最大シェアなだけに狙われる危険が最...