デビアン、サーバへのハッキングで開発者のアクセスを禁止

　Debian GNU/Linuxプロジェクトが、重要な内部サーバへのハッキングがあったことを受け、多数のデベロッパのシステムアカウントにロックをかけた。

　Debianの開発者Martin Schulze氏が米国時間7月13日にコミュニティーあてに送信した電子メールによると、改ざんされた開発者アカウントを使うサーバの乗っ取りがあったという。メーリングリストのメンバーには、12日の発表で侵入が知らされていた。

　Schulze氏は、「つい先ほど、少なくとも1つの開発者アカウントが改ざんされ、攻撃者がこれを悪用してDebianサーバにアクセスしてきた」と述べた。

　Schulze氏によると、この攻撃者は、先ごろ発見されたLinuxカーネルの脆弱性を利用し、同サーバのrootもしくはadminアクセス特権を入手したという。

　Schulze氏はまた、「開発者のパスワードを調査したところ、安全性の低いパスワードが多数見つかり、これらについては対策としてアカウントをロックした」とも書いている。

　DebianはLinuxの非商用バージョンだが、CanonicalやProgenyなど、一部企業ではこれを組み込んだ製品を開発している。

　改ざんされた「gluck」という名前のサーバは、ソフトウェアが再インストールされて現在は復旧しており、すべてのサービスを提供している。だが、Debianのこれ以外のインフラは、まだ通常のアクセスが不可のままとなっている。

　Schulze氏は、「詳しい調査を行って改ざんの有無を調べるため、ほかのDebianサーバはアクセス禁止になったままだ。これらについては、修正済みのカーネルにアップグレードしてからアクセスを許可することになる」としている。

カーネルの欠陥

　Schulze氏によると、このLinuxの脆弱性は以下のバージョンのカーネルにのみ存在するものだという。

　バージョン2.6.13から2.6.17.4まで
　バージョン2.6.16から2.6.16.24まで

　Schulze氏は管理者らに対し、これらのバージョンを使用している場合はソフトウェアをアップグレードするよう勧告した。だが、現行のDebianの安定バージョンはカーネル2.6.8で動作しており、影響はないという。

　ただ、Debianのインフラに対するダメージ拡大は回避できたようだ。Schulze氏は、「カーネルの悪用から、Debian管理者への通知までの対応が早かったため、攻撃者にはダメージを拡大させる時間もなく、やる気も起こらなかった」と述べている。

　「明らかな改ざんが見られるバイナリは/bin/pingだけだった。改ざんされたアカウントには、制限のかかったDebianホストへのアクセス権がなかった。その結果、通常の、もしくはセキュリティ関係のアーカイブも改ざんされることはなかった」（Schulze氏）

　Debianプロジェクトに対するセキュリティ侵害は今回が初めてではない。2003年11月にも、複数のDebianサーバが同じように改ざんされ、ネットとの接続が遮断されたことがあった。