OpenSSH 情報

Red Hat Enterprise Linux 4, と Red Hat Enterprise Linux 5, Red Hat Enterprise Linux 4.5 Extended Update Support の openssh のパッケージが何者かにより書換えられ署名されていた模様です. RedHatのいくつかのサーバへの侵入により判明しました.

Red Hat Enterprise Linuxの公式なパッケージが書換えられていたわけではなく, Red Hat Enterprise Linuxで利用できるopensshパッケージに脆弱なものがあった模様です. 誤った情報を流してしまい申し訳ありません.

1. Fedoraプロジェクトのサーバが侵入される. その中にFedoraのパッケージに自動的に署名するサーバが含まれていた.
2. そのサーバを利用して脆弱なopensshのパッケージにRedHatの鍵で署名された. 侵入者がいくつかのopensshのパッケージに署名するチャンスがあった. 署名されたパッケージが公式な経路を通じて配布された形跡はない. ただし, 3rd Partyのレポジトリから配布された可能性は否定できない.
3. 署名付きのパッケージがどこかで配布された. もし,そのopensshのパッケージをインストールしようとすると, RedHatの鍵で署名されているのでインストール時の署名の確認をすりぬけてしまう.

ということのようです.

参考:

• RHSA-2008-0855 rhn.redhat.com | Red Hat Support
• redhat.com | OpenSSH blacklist script(脆弱なopensshパッケージがインストールされていないかのチェックスクリプトが配布されています)
• Online intruders hit Red Hat, Fedora Project (SecurityFocus)
• Infrastructure report, 2008-08-22 UTC 1200
• Fedoraプロジェクトがクラックされた原因 - RedHat系ユーザは早急に対応が必要
• Red Hat が侵入され、新 openssh パッケージが緊急リリース(RedHat, 2008.08.22) - セキュリティホール memo

以下のパッケージに署名されていた可能性があるようです.

• openssh-3.9p1-8.RHEL4.24 for i386, x86_64 architecture
• openssh-3.9p1-9.el4 for i386, x86_64 architecture
• openssh-4.3p2-26 for x86_64 architecture
• openssh-4.3p2-26.el5 for x86_64 architecture

RedHatによってアップデートが用意されています. なお, CentOSのパッケージは問題ないそうです. (www.centos.org - Forums - CentOS 5 - Security Support - Today's Security Announcement by RH ?). ただし, 脆弱なパッケージがあったとしたらCentOSや他のRedHat系のディストリビューションにもインストール可能と思われますので, チェックしたほうがよいでしょう.