[gentoojp-users 904] Re: GentooとFSFのサ ーバーにも侵入事件が発生

[YAMAKURA Makoto (山倉 真) <makoto@xxxxxxxxxxxxxx>]

山倉です。

From: Mamoru KOMACHI <usata@xxxxxxxxxxxxxxxxxxxxxxx>
Subject: [gentoojp-users 903] Re: GentooとFSFのサーバーにも侵入事件が発生
Date: Thu, 04 Dec 2003 18:55:41 +0900

> >>>>> In [gentoojp-users : No.901] 
> >>>>>	YAMAKURA Makoto (山倉 真) <makoto@xxxxxxxxxxxxxx> wrote:
> 
> > > Gentooでは関知しない幾つかのサービスが動作していた。回の事件はこのスポ
> > > ンサーが起動していたサービスが問題となったようだ。
> 
> > なんてあるんですが、GLSAには具体的な侵入経路は書いてないようです。我々
> > には関係ないexploitなのかどうか、ちょっと気になりますね。
> 
> いや、そういうわけではないみたいで。rsync にバッファオーバーフローの問
> 題があったようです。これと先に見つかった Linux のカーネルのセキュリティ
> ホールと組み合わせると root 権限を取れると。あと rsyncd を use chroot
> = no で使っているとより危険なようです(デフォルトでは use chroot = yes
> なのですが、クラックされた件のサーバは use chroot = no にしていた)
> 
> こちらに声明があります→ http://rsync.samba.org/

なるほど。オフィシャルなミラーサイトはさることながら、Gentooを複数台使っ
ていてローカル用にrsyncdを動かしている、なんて人も注意が必要ですね。

> rsync 2.5.7 では対策が当たっているみたいで、ebuild も追加されたようで
> す。emerge sync して入れましょう。まあカーネルを最新版にして rsync を
> 動かしているなら use chroot = no にしておく、というのも必要でしょう。

typo訂正。use chroot = yes が安全です。

-- 
山倉 真 / makoto@xxxxxxxxxxxxxx