Linux勧告ウォッチ - 2005年10月28日(金)

Benjamin-D.-Thomas(2005年10月28日(金))
今週は、mozilla、module-assistant、eric、sudo、libgda2、imlib、koffice、net-snmp、lynx、RTF、Netpbm、cURL、Zope、phpMyAdmin、ethereal、pam、fetchmailに関する勧告が公開された。配布元には、Debian、Gentoo、Red Hatが含まれる。

進行中のセキュリティ侵入
著者:Dave Wreski

進行中のセキュリティ侵入を見分けることは、切迫したものになることがある。対応方法が結果を大きく左右する。

発見した侵入が物理的なものなら、自宅、職場、コンピュータルームなどに何者かが侵入している可能性が高い。地元当局に通報する必要がある。コンピュータルームだとすれば、たとえば、マシンの筐体を開けようとしたり、マシンをリブートしようとしたりした者を見つけたというような場合だ。その地域の警察等の手続きに応じて、対応を要請するか警備機関等に連絡する。

ローカルユーザによる侵入の試みを発見した場合、まずは、推定の人物が本当に犯人であるかを確かめる必要がある。その人物がログインしているサイトを調べよう。そこは普段からその人物がログインしているサイトか。そうでなければ、電子的手段を離れてその人物に連絡をとる。たとえば、電話をかけるか、オフィスや自宅を訪ねて話をきいてみる。本人が侵入行為を認めた場合、その行為について説明を求めるか、やめるように指示する。本人に侵入行為の心当たりがない場合は、この問題はさらに深く調査する必要があるだろう。告発する前に、問題を詳しく調べて多くの情報を収集する必要がある。

ネットワーク侵入を発見した場合は、まず、(可能であれば)ネットワークから切断する。モデムで接続している場合はモデムケーブルを抜き、Ethernetで接続している場合はEthernetケーブルを抜く。これでそれ以上の被害を防ぐことになり、また、侵入者は侵入できなくなったのは発覚したためではなくネットワークトラブルだと考えるだろう。

ネットワークを切断できない場合(ビジーサイトがある、マシンを物理的に管理する権限がないなど)、次善の策は、tcp_wrappersやipfwadmなどを使って侵入者のサイトからのアクセスを拒否することだ。

同じサイトからのアクセスをすべて侵入者によるものとして拒否するわけにいかない場合は、そのユーザのアカウントをロックすればよい。ただし、アカウントのロックは簡単なことではない。.rhostsファイル、FTPアクセス、バックドアとなり得るホストを考慮する必要がある。

これらのいずれかの対処(ネットワーク切断、侵入者のサイトからのアクセス拒否、侵入者のアカウントの無効化)をした後で、侵入者のユーザプロセスをすべて強制終了し、侵入者をログオフさせる。

それから数分間、サイトを注意深く監視し、侵入者が戻ろうとする動きがないか見張っておく。別のアカウントや、別のネットワークアドレスを使ってくるかもしれない。

出典「Linux Security Howto」:
http://www.linuxsecurity.com/docs/LDP/Security-HOWTO/

Debian
Debian:Mozillaパッケージの複数の弱点の修正
2005年10月20日
パッケージが更新された。
Debian:module-assistantパッケージの安全でない一時ファイルの修正
2005年10月20日
パッケージが更新された。
Debian:Mozilla Thunderbirdパッケージの弱点の修正
2005年10月20日
パッケージが更新された。
Debian:ericパッケージの任意のコード実行に対する修正
2005年10月21日
パッケージが更新された。
Debian:sudoパッケージの任意のコマンド実行に対する修正
2005年10月25日
パッケージが更新された。
Debian:libgda2パッケージの任意のコード実行に対する修正
2005年10月25日
パッケージが更新された。
Debian:libgda2パッケージの任意のコード実行に対する修正
2005年10月25日
パッケージが更新された。
Debian:imlibパッケージの任意のコード実行に対する修正
2005年10月26日
パッケージが更新された。
Debian:kofficeパッケージの任意のコード実行に対する修正
2005年10月26日
パッケージが更新された。
Debian:net-snmpパッケージのDenial of Serviceの修正
2005年10月26日
パッケージが更新された。
Debian:lynxパッケージの任意のコード実行に対する修正
2005年10月27日
パッケージが更新された。
Debian:OpenSSLパッケージの暗号化の弱点の修正
2005年10月27日
パッケージが更新された。
Gentoo
Gentoo:AbiWordの新しいRTFインポート・バッファ・オーバーフロー
2005年10月20日
AbiWordのRTFインポートに新しいバッファ・オーバーフローの弱点があり、任意のコードの実行につながる。
Gentoo:Netpbmのpnmtopngのバッファ・オーバーフロー
2005年10月20日
Netpbmツールのpnmtopngユーティリティに含まれる弱点により、任意のコードが実行される可能性がある。
Gentoo:cURLのNTLMのユーザ名スタック・オーバーフロー
2005年10月22日
cURLにバッファ・オーバーフローの弱点があり、任意のコードの実行につながる可能性がある。
Gentoo:ZopeのRestructuredTextによるファイル混入
2005年10月25日
Zopeで、信頼されないユーザへのRestructuredText機能公開時にファイル混入の弱点がある。
Gentoo:phpMyAdminのローカルファイル混入とXSSの弱点
2005年10月25日
phpMyAdminにローカルファイル混入の弱点があり、任意のコードの実行とクロスサイト・スクリプティングにつながる可能性がある。
Red Hat
RedHat:中:etherealのセキュリティ更新
2005年10月25日
さまざまなセキュリティの弱点を修正した新しいEtherealパッケージが公開された。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は中となっている。
RedHat:低:pamのセキュリティ更新
2005年10月26日
Red Hat Enterprise Linux 4用の最新のpamパッケージが公開された。このパッケージでは、セキュリティ問題が修正されている。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は低となっている。
RedHat:低:fetchmailのセキュリティ更新
2005年10月26日
安全でないコンフィグレーションファイル作成を修正した新しいfetchmailパッケージが公開された。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は低となっている。

原文