OpenSSHを改ざんか:Red Hatの社内システムに不正侵入

| | コメント(0) | トラックバック(0)

・OpenSSHを改ざんか:Red Hatの社内システムに不正侵入 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0808/25/news017.html

このため、Red Hatはこれらパッケージのアップデートをリリースするとともに、改ざんされたパッケージの一覧と検出方法を公開した。
OpenSSHを改ざんか:Red Hatの社内システムに不正侵入

・rhn.redhat.com | Red Hat Support
http://rhn.redhat.com/errata/RHSA-2008-0855.html
Critical: openssh security update

・redhat.com | OpenSSH blacklist script
http://www.redhat.com/security/data/openssh-blacklist.html
確認方法

CentOS 5 (x86_64アーキテクチャ) だけど、一応確認してみた。

(2008/08/25 追記 ここから)
あー、このチェックするスクリプトは、RedHatに置かれてしまった(署名されてるけど)不正なrpmパッケージのMD5値と一致しないか調べてるだけで、CentOSで確認しても意味ないのね?多分。
でも、一応やっておく(ていうか、やっちゃった)。
ソースは影響なかったのかな?
(2008/08/25 追記 ここまで)

(2008/08/25 追記 ここから)
また、追記。

・Security Incident Report:Fedora Projectがクラックの被害に - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0808/25/news038.html
まだ、詳細はあまり明らかにされてない雰囲気。
つまりは、どういうことでしょう?
(2008/08/25 追記 ここまで)

確認

現状を確認。

$ rpm -qa | grep openssh
openssh-4.3p2-26.el5
openssh-askpass-4.3p2-26.el5
openssh-clients-4.3p2-26.el5
openssh-server-4.3p2-26.el5
 
// yumでアップデートできるパッケージがあった
$ yum list updates
Updated Packages
openssh.x86_64                           4.3p2-26.el5_2.1       updates
openssh-askpass.x86_64                   4.3p2-26.el5_2.1       updates
openssh-clients.x86_64                   4.3p2-26.el5_2.1       updates
openssh-server.x86_64                    4.3p2-26.el5_2.1       updates

ダウンロード。

// 公開 GPG キー をインポート (署名はしない)
$ wget https://www.redhat.com/security/650d5882.txt
$ gpg --import 650d5882.txt
 
// ダウンロードして、そのファイルを検証する
$ wget https://www.redhat.com/security/data/openssh-blacklist-1.0.sh
$ wget https://www.redhat.com/security/data/openssh-blacklist-1.0.sh.asc
$ gpg --verify openssh-blacklist-1.0.sh.asc
gpg: 2008年08月22日 18時02分29秒 JSTにDSA鍵ID 650D5882で施された署名
gpg: "Red Hat, Inc. (Security Response Team) <secalert@redhat.com>"からの正しい署名
gpg: 警告: この鍵は信用できる署名で証明されていません!
gpg:       この署名が所有者のものかどうかの検証手段がありません。
主鍵の指紋: 9273 2337 E5AD 3417 5265  64AB 5E54 8083 650D 5882

警告が表示されるのは、インポートしたRedHatの公開 GPG キー に署名してないから。

改竄されたパッケージが入ってないかチェックする。
改竄されたパッケージがある場合は、「ALERT」と表示されるらしい。
改竄されたパッケージが見つからない場合は、「PASS」を含む一文が表示されるらしい。

# bash ./openssh-blacklist-1.0.sh
PASS: no suspect packages were found on this system

大丈夫らしい。
一応、新しいのが出てたのでupdateしておく。

$ sudo yum update

これで、ALERTが出たら笑えるので一応確認。

# bash ./openssh-blacklist-1.0.sh
PASS: no suspect packages were found on this system

出なかった。笑えなかった。ちぇ。

トラックバック(0)

このブログ記事を参照しているブログ一覧: OpenSSHを改ざんか:Red Hatの社内システムに不正侵入

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/506

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2008年8月25日 13:54に書いたブログ記事です。

ひとつ前のブログ記事は「第01回まっちゃ445勉強会」です。

次のブログ記事は「古いエントリの変更履歴 (2008/08)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261