Debian JP Project

(for vocal browsers: toc, main)

Google
WWW 全体 www.debian.or.jp 検索

« 開発ニュース寄せ集め (第 24 号) | 一覧 | 第43回 関西 Debian 勉強会のお知らせ »

2010年12月21日

Exim への攻撃観測とセキュリティ更新についての注意喚起

Debian のデフォルトメールサーバパッケージである Exim に、細工を施した SMTP 通信にてバッファオーバーフローを引き起こし root 権限を外部から取得される脆弱性が発見されています。外部から侵入を受ける脆弱性は既に Debian では修正済ではありますが、すでに攻撃プログラムが公開されて容易に入手できるので、多くのサイトにてこの更新を適用してないために被害に遭うケースがみられます。

Debian による公開サーバを運用されている方は、以下の点をチェックしてください。

  • メールサーバを Exim4 で運用していないかどうか。Exim4 は Debian において、MTA が必要になる場合に依存関係上、自動的にインストールされることがあります。なお、postfix など他のメールサーバを利用している場合は、今回の場合は問題がありません。
  • Exim4 をインストールしている場合、外部からのメールを受け取る設定になっているかどうか (ローカル配送専用のメールサーバとして Exim4 が導入されている場合は、外部からは攻撃を受けない可能性が高くなりますが、依然としてローカルユーザからは攻撃が可能な点にはご注意ください)。
  • 12/10 以降にサーバの更新を実施しているかどうか。
  • 以下のようにして、Exim4 パッケージがセキュリティ更新されたものであるかを確認してください。こちらで現在の安定版でのバージョンの確認が可能になっています (現在のところ 4.69-9+lenny1 以上であれば問題ありません)。
    $ dpkg -s exim4 | grep Version
    Version: 4.69-9+lenny1
  • 既に被害にあっていないかどうか。
    • 現在確認されているところでは、/var/spool/exim4 以下にツールが配置されているケースがあります。以下のようなファイルが配置されている場合は、残念ながら既に侵入されています (参考URL) 。
      -rw------- 1 Debian-exim Debian-exim     117 Dec 15 16:41 a.conf
      -rw------- 1 Debian-exim Debian-exim     119 Dec 15 16:41 e.conf 
      drwxr-xr-x 3 root        root             75 Dec 16 18:00 rk
      -rw------- 1 root        root        4421289 Dec 15 20:13 rk.tgz
      -rw-r--r-- 1 root        root              0 Dec 16 13:26 s
      -rw-r--r-- 1 root        root              0 Dec 16 13:26 s.c
      -rwsr-xr-x 1 root        root           6764 Dec 15 23:29 setuid
      -rw------- 1 Debian-exim Debian-exim    3120 Dec 15 16:41 setuid.1
      -rw------- 1 Debian-exim Debian-exim     130 Dec 15 16:41 setuid.c
      
    • 別の被害ケースでは、上記のような状態にはなっていなかったが、netstat コマンドの実行 (netstat -antp) で dropbear という SSH サーバを別途インストールされていることを発見し、さらに確認したところ、外部から接続可能なように root ユーザの SSH の設定に鍵が追加されていたとのことです。
  • その他、メールログやシステムログに異常がみられないかの確認。

対策:

今回の問題は、容易に侵入を許し root 権限を奪われる非常に危険なケースです。十分に注意・確認をお願いします。なお、今回の更新に加えて権限上昇に対する Exim4 のアップデートが配布される予定がありますので、その際も更新をお願いします。

2010/12/21 21:02 リンク


過去のニュース