Matzにっき

この日記は6月5日に書いています

_ バージョン管理ツールCVSのセキュリティ・ホールを突いた不正侵入が続発

あーあ、helium.ruby-lang.orgも記事になってるよ。いかんよなあ。

また5月28日には，「Ruby」の公式サイトに不正侵入があったことが公表された。「何者かがhelium.ruby-lang.orgに侵入していたことを，2004年5月28日にサイト管理者が確認した」という。やはり原因はCVSのセキュリティ・ホールと見られる。ただし，chrootと呼ばれるセキュリティ対策ツールを使用し，CVSに侵入されても他のプロセスやファイルに不正な操作ができないようにしていたため，他のサービスやコンテンツへの影響の可能性は低いと考えられるとしている。また，公式サイトに置かれていたruby-1.8.1.tar.gzとruby-1.6.8.tar.gzには改ざんがないことが確認されたという。

完全に安全かどうかを証明するのは不可能に近い。 一番ありそうな(かつ楽観的な)推測は以下の通りである。

• CVS脆弱性により(我々の迂闊な点1)、chroot環境下でのanoncvs権限を奪取されたが、 バックドアはiptablesでフィルタされた
• 既知のlocal root exploitは残っておらず、root権限は奪われなかった
• リポジトリはanoncvs権限で改竄可能であったが(我々の迂闊な点2)、 侵入者はそれには関心がなく、改竄は行われなかった。

しかし、実際にはrootを奪われたと想定して検証する必要がある。 しょうがないんで最低限のデータ(CVS, FTP, WWW)だけ検証し、 残りは証拠を保全した後、クリーンインストールしよう。