CERT Summary CS-97.02 の日本語訳

戸田 @ 千葉大です. ニュースサーバの管理を行なうような人には不要だという気もしますがいちおう日本語訳にしてみました.
例によって
ftp://aohakobe.ipc.chiba-u.ac.jp/pub/staff/yozo/notes/admin/ ftp://ftp.ipc.chiba-u.ac.jp/pub/security/misc/cert.japanese/ 以下に置いてあります.

- -- yozo.
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
日本語訳: Yozo TODA (yozo@ipc.chiba-u.ac.jp)
assistant of Information Processing Center, Chiba University
メイリングリスト・ニュースグループへの転載,FTP や WWW などによる配布は自由に行なって下さい.
initial translation: Wed Mar 19 23:19:34 JST 1997
updated:
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

CERT(sm) Summary CS-97.02 - SPECIAL EDITION March 18, 1997
この CERT Summary 特別版は広範囲のニュースサーバに対して行なわれている攻撃に関して注意を喚起するものである.

過去に発行された CERT Summary は以下の場所から公開されている
ftp://info.cert.org/pub/cert_summaries/

Current activity - ニュースサーバへの攻撃

NNTP (Network News Transport Protocol) サーバへの攻撃に関する報告が世界各地から寄せられている.
(NNTPサーバ, あるいは USENET ニュースサーバとも呼ばれる.)

これは INN (InterNetNews) の 1.5.1 より以前のバージョンに存在するセキュリティホールをつくものである.
バージョン1.5.1 自身もセキュリティホールを持っているのではないかという報告もあるが, 我々の知る限りでは1.5.1 には問題は見つかっていない.

INN は NNTP プロトコルにしたがってニュース記事の配送・提供を行なうソフトウェアとして広く使われている.
問題のセキュリティホールを利用すると, INN が動作するときのユーザ権限で任意のコマンドを実行することができてしまう.
1997年3月18日 EST 午前8時 (GMT-5) 現在で分かっている範囲ではサーバのパスワードファイルや各種設定ファイルをメイルでどこかに送ろうとするものがもっとも多い.

USENET の仕組みでは, メッセージは自動的にニュースサーバ間を配送されていく. これらのメッセージのうちとくにコントロールメッセージと呼ばれるものが攻撃に使われている.
コントロールメッセージを作成し投稿すると自動的に配送されそして攻撃が行なわれることになる.
もとのメッセージ作成者が狙っていたかどうかに関わらずあなたのサイトにも被害が及んでいる可能性がある.

サーバソフトへのパッチや問題の回避方法など関連情報については

ftp://info.cert.org/pub/cert_advisories/CA-97.08.innd

を参照のこと.
我々は新しい情報を入手する毎にこのドキュメントを更新している.

INN 1.5 あるいはそれ以前のバージョンを利用しているサイトではできるだけ早く INN を 1.5.1 にバージョンアップすることをお勧めする.

現在 INN の管理を担当している James Brister はINN 1.5.1 へのバージョンアップに関する情報を提供してくれている.
この情報はすでに上記 adovisory に追加された.
James は INN 1.5, 1.4sec, 1.4unoff3, 1.4unoff4 に対して以下のパッチを提供している:

ftp://ftp.isc.org/isc/inn/patches/security-patch.01 1.5
ftp://ftp.isc.org/isc/inn/patches/security-patch.02 1.4sec
ftp://ftp.isc.org/isc/inn/patches/security-patch.03 1.4unoff3, 1.4unoff4

これらのディレクトリには MD5 チェックサムも一緒に置いてある.

INN のパッチ情報については

http://www.isc.org/inn.html

を参照.

1997年3月14日(金) 以前に INN 1.5.1 にバージョンアップしていなかったサイトでは以下の手順を実行すること:

                830201540.9120@uunet.uu.net
                830201540.9122@uunet.uu.net
                830201540.9220@uunet.uu.net
                830201540.9223@uunet.uu.net
                830201540.9020@uunet.uu.net
                830201540.9221@uunet.uu.net

もしログにこれらのメッセージID が残されていた場合,問題のコントロールメッセージが届いていた可能性が高い.さらにこれ以外のメッセージが使われる(あるいはすでに使われている)ことはほぼ確実と思われるので,ログを調べるだけでは十分ではない.

* shadow パスワード(や Kerberos など)の仕組みを利用していない環境において,パスワードファイルがメイルによってサイト外に送られていることを発見した場合には, システム上のすべてのパスワードを変更すべきである.

以下のセキュリティ関連ドキュメントを参考にすることを勧める:

ftp://info.cert.org/pub/tech_tips/intruder_detection_checklist

システムへの侵入の痕跡を調査する方法や不正侵入された場合の対処方法についての解説.

ftp://info.cert.org/pub/tech_tips/root_compromise

ルート権限を不正利用された場合の復旧手順,再侵入防止方法についての解説.

ftp://info.cert.org/pub/tech_tips/UNIX_configuration_guidelines

UNIX システムに関して不正侵入につながる一般的な問題点への対処方法と UNIX システムの設定に関する基本的な考え方を解説.

ftp://info.cert.org/pub/tech_tips/security_tools

不正侵入監視, システムやネットワークの稼働状況チェックに利用するツールの紹介.

ftp://info.cert.org/pub/tech_tips/passwd_file_protection

パスワードファイルを不要なアクセスから守る方法を解説.

* ユーザアカウント news で不審なプロセスが走っていないかどうか確認すること.
INN の攻撃に使われるコントロールメッセージのなかには他の場所に telnet をかけようとするものがある.
firewall を利用しているサイトであっても通常内部から外部への telnet は利用できるようになっており, 悪用されるおそれがある.
* 自サイトのセキュリティホールチェックのためにコントロールメッセージによる攻撃を試し, 間違ってサイト外に流出させてしまうという事例がいくつか報告されている.
このような方法で自サイトのチェックを行なうことは避けるべきである.
かわりに CERT advisory CA-97.08 のセクション I に説明されている手順で調べること.
外部に流してしまったコントロールメッセージで問題のあるサイトを発見した場合には, そこの管理者に連絡してあげてほしい. その場合 cert@cert.org にも CC していただきたい.

* コントロールメッセージによる攻撃を受けた場合, FIRST のメンバが近くにいるならばそちらに直接連絡することをお勧めする. FIRST への連絡方法については

http://www.first.org/ を参照.

* FIRST への連絡ができない場合, CERT への連絡を行なってほしい.
どのような影響がどの程度の範囲に及んでいるかをできるだけ正確に把握するため以下の情報を提供してほしい:

                - あなたの 氏名・連絡先
                - ニュースサーバの ドメイン名
                - NNTP サーバソフト名, バージョン
                - コントロールメッセージの内容
                - その他 関連情報

この summary の作成に協力してくれた James Brister に感謝する.

CERT への連絡方法

Email    cert@cert.org

Phone    +1 412-268-7090 (24時間 受け付け)
                8:30-5:00 p.m. EST(GMT-5)/EDT(GMT-4) には
                CERT メンバが 応答.
                緊急時には その他の 時間帯にも 対応.

Fax      +1 412-268-6989

Postal address
        CERT Coordination Center
        Software Engineering Institute
        Carnegie Mellon University
        Pittsburgh PA 15213-3890
        USA

CERT advisory や bulletin などの 回覧を 行なう メイリングリストに
参加したい 場合は E-mail アドレス
        cert-advisory-request@cert.org
まで 連絡を. subject 欄には
        SUBSCRIBE your-email-address
と 入れること. {your-email-address の部分に 自分の アドレスを 入れる.}

CERT advisory や bulletin は USENET ニュースグループ
         comp.security.announce
に 投稿される.

CERT 発行文書, FIRST など セキュリティ関連の 情報は
        http://www.cert.org/
        ftp://info.cert.org/pub/
にて 公開されている.

クラッキングなどに 関する 報告を CERT まで E-mail で 送る場合,
暗号化することを 強く 勧める.
CERT では shared DES key や PGP での 暗号化メッセージに 対応している.
詳しいことは CERT まで.

CERT の PGP 鍵は
         ftp://info.cert.org/pub/CERT_PGP.key

CERT is a service mark of Carnegie Mellon University.

- -----BEGIN PGP SIGNATURE-----
Version: 2.6.2

iQCVAwUBMy6k4nVP+x0t4w7BAQFZWQQAicB4ZaxN9Eu7R2d9KHD3QHVmaZcNilir
JOU00lV5Tzc626VsnCgE/Er4ptC27iSBlzTAYgJa/VSAHnqDW/VF2nzBGluIkIwD
hnRbZn49QdKzyN8PtNt7I2dY58V7EpbQsOH+tCbdcGsYlEe+sKaAR9NNSEgceGwl
WA70HTTvVK4=
=YbSQ
- -----END PGP SIGNATURE-----