現在地 HOME > 掲示板 > IT4 > 285.html ★阿修羅♪ |
|
エンタープライズ:
Linuxカーネルデータベースに侵入者--コードの改ざんには失敗【CNET Japan記事】
http://japan.cnet.com/news/ent/story/0,2000047623,20061830,00.htm
2003年11月7日(金) 10時48分
何者かが、一般公開されているデータベースに侵入し、そこに保存され
ていた次期バージョンのLinuxカーネルのコードに、トロイの木馬プログ
ラムを挿入しようとした。
Linux開発の中心的な人物が5日(米国時間)明らかにしたところによる
と、BitKeeperと呼ばれるソースコード・レポジトリで、そのセキュリテ
ィ機能が、過去24時間以内に不正に変更されていたのが見つかり、この一
般向けデータベースが閉鎖されたという。BitKeeperでは、Linuxカーネル
のテストバージョンである最新ベータ版が、ソースコード管理プログラム
Concurrent Versions System(CVS)のユーザー向けに提供されていただ
けだった。
ソフトウェア開発会社BitMoverの創立者でソースコードデータベース
BitKeeperの設計を主に担当したLarry McVoyは、カーネルにセキュリティ
脆弱性を引き起こしたかもしれない変更は、Linuxコードには反映されて
おらず、脅威にはならないと話している。
「今回の変更は、開発ツリーには全く影響していない」とMcVoyは言う。
「BitKeeperでは、コードにおかしなところがないかどうかに神経質な程
気を配っており、これがトロイの木馬発見のカギとなった」(McVoy)
Linuxの生みの親で、カーネルの主導的開発者であるLinus Torvaldsは、
BitKeeperを利用して、同OSの中核となるソフトウェアの変更履歴を記録
している。BitKeeperは毎日、他の開発者が利用している公開/非公開デ
ータベースに、変更内容を移送している。
McVoyによると、何者かがあるサーバに侵入して、ソースコードファイ
ルの1つに小さな変更を行ったようだという。この変更から生じた欠陥で、
そのソースコードをコンパイルしたカーネルが稼動する全てのLinuxマシ
ン上で、ユーザー権限のレベルを上げられてしまう可能性がある。ただし、
この影響が及ぶのは、コードが変更されてから、それが検知されるまでの
24時間以内に、このデータベースを利用した開発者だけだ、とMcVoyは述
べた。
「我々は真っ先に変更箇所を元に戻した。変更箇所は5分で見つかった」
(McVoy)
BitKeeperは、ソースコードを他のサーバに移送する際、全てのファイ
ルにおかしな箇所がないかをチェックし、ファイルの正式バージョンとリ
モートマシンのバージョンとのデジタル識別子を照合する。この比較によ
って、サーバに記録されたコードに変更があったことが判明した。
Linux Torvaldsはこの問題に関して、Linuxカーネルメーリングリストに
投稿を行なっている。
「現行システムは、複数の仕組みのおかげでかなり安全になっている」と
Torvalds。「誰かが(BitKeeperの)ツリー(ソフトウェアレポジトリ)
に直接アクセスしようとすると、直ちに通知されるというのも、そうした
仕組みの1つだ」(Torvalds)
関連記事:
人気オープンソースソフト2種に相次ぎ脆弱性見つかる
OpenSSHに深刻な脆弱性、ネットワークに「合鍵」が存在
GNUサイトがクラックされていた
Linuxカーネルにセキュリティホール
BINDに重大な脆弱性、アップデートを強く勧告
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。