« 開発ニュース寄せ集め (第 24 号) |
一覧
| 第43回 関西 Debian 勉強会のお知らせ »
2010年12月22日
Exim への攻撃観測とセキュリティ更新についての注意喚起
Debian のデフォルトメールサーバパッケージである Exim に、細工を施した SMTP 通信にてバッファオーバーフローを引き起こし root 権限を外部から取得される脆弱性が発見されています。外部から侵入を受ける脆弱性は既に Debian では修正済ではありますが、すでに攻撃プログラムが公開されて容易に入手できるので、多くのサイトにてこの更新を適用してないために被害に遭うケースがみられます。
Debian による公開サーバを運用されている方は、以下の点をチェックしてください。
- メールサーバを Exim4 で運用していないかどうか。Exim4 は Debian において、MTA が必要になる場合に依存関係上、自動的にインストールされることがあります。なお、postfix など他のメールサーバを利用している場合は、今回の場合は問題がありません。
- Exim4 をインストールしている場合、外部からのメールを受け取る設定になっているかどうか (ローカル配送専用のメールサーバとして Exim4 が導入されている場合は、外部からは攻撃を受けない可能性が高くなりますが、依然としてローカルユーザからは攻撃が可能な点にはご注意ください)。
- 12/10 以降にサーバの更新を実施しているかどうか。
- 以下のようにして、Exim4 パッケージがセキュリティ更新されたものであるかを確認してください。こちらで現在の安定版でのバージョンの確認が可能になっています (現在のところ 4.69-9+lenny1 以上であれば問題ありません)。
$ dpkg -s exim4 | grep Version Version: 4.69-9+lenny1
- 既に被害にあっていないかどうか。
- 現在確認されているところでは、/var/spool/exim4 以下にツールが配置されているケースがあります。以下のようなファイルが配置されている場合は、残念ながら既に侵入されています (参考URL) 。
-rw------- 1 Debian-exim Debian-exim 117 Dec 15 16:41 a.conf -rw------- 1 Debian-exim Debian-exim 119 Dec 15 16:41 e.conf drwxr-xr-x 3 root root 75 Dec 16 18:00 rk -rw------- 1 root root 4421289 Dec 15 20:13 rk.tgz -rw-r--r-- 1 root root 0 Dec 16 13:26 s -rw-r--r-- 1 root root 0 Dec 16 13:26 s.c -rwsr-xr-x 1 root root 6764 Dec 15 23:29 setuid -rw------- 1 Debian-exim Debian-exim 3120 Dec 15 16:41 setuid.1 -rw------- 1 Debian-exim Debian-exim 130 Dec 15 16:41 setuid.c
- 別の被害ケースでは、上記のような状態にはなっていなかったが、netstat コマンドの実行 (netstat -antp) で dropbear という SSH サーバを別途インストールされていることを発見し、さらに確認したところ、外部から接続可能なように root ユーザの SSH の設定に鍵が追加されていたとのことです。
- 現在確認されているところでは、/var/spool/exim4 以下にツールが配置されているケースがあります。以下のようなファイルが配置されている場合は、残念ながら既に侵入されています (参考URL) 。
- その他、メールログやシステムログに異常がみられないかの確認。
対策:
- すぐに Exim4 のアップデートを実施してください (aptitude update; aptitude safe-upgrade などしてパッケージを最新の状態に保ってください)。
- 最新のセキュリティ更新情報が送付される debian-security-announce メーリングリストの購読や セキュリティ更新情報の RSS の取得を検討ください (日本語訳は debian-users メーリングリストで配布されています)。
- apticron パッケージを使った自動更新の確認などを検討ください。
今回の問題は、容易に侵入を許し root 権限を奪われる非常に危険なケースです。十分に注意・確認をお願いします。なお、今回の更新に加えて権限上昇に対する Exim4 のアップデートが配布される予定がありますので、その際も更新をお願いします。
2010/12/22 21:32 リンク
過去のニュース
- 2025 年のニュース
- 2024 年のニュース
- 2023 年のニュース
- 2022 年のニュース
- 2021 年のニュース
- 2020 年のニュース
- 2019 年のニュース
- 2018 年のニュース
- 2017 年のニュース
- 2016 年のニュース
- 2015 年のニュース
- 2014 年のニュース
- 2013 年のニュース
- 2012 年のニュース
- 2011 年のニュース
- 2010 年のニュース
- 2009 年のニュース
- 2008 年のニュース
- 2007 年のニュース
- 2006 年のニュース
- 2005 年のニュース
- 2004 年のニュース
- 2003 年のニュース
- 2002 年のニュース
- 2001 年のニュース
- 2000 年のニュース
- 1999 年のニュース
- 1998 年のニュース
- 1997 年のニュース
