FreeBSD The Power to Serve

FreeBSD.org intrusion announced November 17th 2012

FreeBSD の開発・配布マシン群への不正侵入発生について

From: FreeBSD Security Officer <security-officer@FreeBSD.org>
To: FreeBSD Security <FreeBSD-security@FreeBSD.org>
Bcc: freebsd-announce@freebsd.org, freebsd-security-notifications@FreeBSD.org
Reply-To: secteam@FreeBSD.org
Subject: Security Incident on FreeBSD Infrastructure

11 月 11日 (日)、FreeBSD.org クラスタにある 2 台のマシンにおいて不正侵入が確認されました。 FreeBSD プロジェクトは事態を分析するため、 これらのマシンを停止させてネットワークから切り離しました。 用心のため、FreeBSD プロジェクトが管理するその他のマシンのほとんども、 同じ措置を行ないました。

FreeBSD 利用者に影響をおよぼすような変更が加えられた形跡は見つかっていませんが、 http://www.freebsd.org/ja/news/2012-compromise/ に書かれている報告を一読いただき、 必要な対応をとるようにお願いいたします。 このページは、新しい情報が判明しだい更新されます。 現時点での分析結果からは、FreeBSD 利用者への影響はないと考えられていますが、 もし今後の分析で影響が確認されるようであれば、 あらためて情報の提供を行なう予定です。

FreeBSD プロジェクトは、この不正侵入の発生を受けて、 さらなる事態の発生を未然に防ぐため、 運営しているサービスに対して様々なセキュリティ対策を行ないました。 その一部として、FreeBSD のソースファイルを配布している CVSup サービスなどの古いサービスの多くを、 今までの想定よりも早期に停止させ、 より信頼性の高い Subversion, freebsd-update, portsnap を使った方法に移行することを計画しています。

詳細は http://wwww.freebsd.org/ja/news/2012-compromise/ をご覧ください。

2012 年 11 月 17 日 (日)

目次

新しい情報が確認されしだい、このページは更新されます。

発見当初の状況

2012 年 11 月 11 日 (日)、FreeBSD.org の開発・配布マシン群のうちの 2 台に不正侵入が確認されました。 これらのマシンは、サードパーティ製ソフトウェアの ports/packages の構築を行なうマシン群を制御するために、 過去に使われていた古いものです。不正侵入は、最も早くて 2012 年 9 月 19 日に発生したと考えられます。

不正侵入は、これらのマシンにアクセス可能だった開発者の SSH 暗号鍵が奪われたことによって発生したと考えられます。 FreeBSD に存在するセキュリティ上の弱点を悪用したものではありません。

不正侵入の影響を理解するには、FreeBSD が「ベース」と 「packages」に分かれていることを理解する必要があります。 「ベース」とは、FreeBSD 開発者コミュニティが開発・管理している部分で、 「packages」とは、サードパーティ製ソフトウェアを、 パッケージと呼ばれるインストールしやすい形でとりまとめ、 FreeBSD プロジェクトが配布しているものです。 カーネル、システムライブラリ、コンパイラ、 コマンドラインツール (SSH クライアントなど)、 デーモン (sshd(8) など) は、すべて「ベース」に含まれます。 本報告の大部分は、 FreeBSD プロジェクトが配布しているサードパーティ製ソフトウェアのパッケージにのみ、 影響があります。

FreeBSD の「ベース」部分に影響はありません。今回の不正侵入によって FreeBSD のベース部分に変更を加えることは不可能です。 ただし、侵入者はサードパーティ製ソフトウェアのパッケージを書き換えるのに必要な権限を奪取・行使可能な状態でした。 詳細な分析を行なった結果、 現時点ではパッケージ改竄の形跡は得られていませんが、 FreeBSD プロジェクトでは、 理論的に侵入者が改竄できた時期に構築・配布されたパッケージは、 すべて信頼できないものであると想定して、 対応をとることとしています。

影響範囲

あなたのシステムにインストールされているサードパーティ製のソフトウェアが、 2012 年 9 月 19 日から 2012 年 11 月 11 日の間にインストールされたものでなければ、 影響はありません。

ソース、Ports Collection, ドキュメントの Subversion リポジトリはセキュリティ監査が行なわれており、 不正な変更は加えられていないことが確認されています。 Subversion リポジトリを使ってシステムの更新を行なっている利用者には、 今回の不正侵入の影響はありません。

現在 ftp.FreeBSD.org で公開されている FreeBSD のパッケージとリリースは精査され、 不正な変更が加えられていないことが確認されています。

近日公開予定の FreeBSD 9.1-RELEASE 用のパッケージは、すでに FTP 配布サイトにアップロードされていました。 このパッケージに対して不正な変更が加えられているかどうかは確認が困難なため、 一度削除を行ないました。これらは後日、再構築する予定です。 これらのパッケージは、まだ未公開の FreeBSD 9.1-RELEASE 用のものであり、 標準的なパッケージ管理コマンドである “pkg_add -r” 等でインストールされることは (明示的にそれを指定しない限り)ありません。

2012 年 9 月 19 日から 2012 年 11 月 11 日までの期間にインストールされたパッケージと、 その期間に svn.freebsd.org (およびそのミラー)以外から取得した ports ツリーを使って構築したサードパーティ製ソフトウェアについては、 不正な改竄があったかどうかを確認することができません。 改竄の事実は確認されておらず、 その可能性も極めて低いと考えられますが、 FreeBSD プロジェクトは、 この時期にサードパーティ製ソフトウェアをインストールしたすべてのマシンについて、 信頼できる配布物を使ってシステムを再インストールすることを推奨します。

freebsd-update(8) バイナリアップデートは、 不正侵入されたマシンとは隔離されたマシンを使っているため、 影響がないことが確認されています。また、portsnap(8) で配布されている配布物についても、 Subversion リポジトリと一致していることが確認されています。 これらの方法で配布されているものには、不正な変更はありません。 ただし、影響の分析が終了するまで、portsnap(8) 配布物の更新は止まっていますのでご注意ください。

FreeBSD.org の対応

不正侵入が確認された直後、FreeBSD クラスタ管理チームは次の対応をとりました。

  • 不正侵入されたマシンの電源を遮断。

  • 侵入者が侵入可能と考えられる、その他のマシンすべての電源を遮断。

  • Subversion と Perforce リポジトリについて、次の各項目のセキュリティ監査を実施。

    • サーバへの侵入がないことを確認

    • リポジトリに不正なコミットが行なわれていたかどうかの確認

    • Subversion リポジトリの内容が、当該サーバの外に保管されている、 改竄されていないコピーと完全に一致するかどうかの確認

  • マスタ FTP 配布サイトに置かれている、 すべての FreeBSD ベースリリースメディアと、 インストール用ファイル群に異常がないかを確認。

  • 公開されているすべてのパッケージのチェックサムが、 当該サーバの外に保管されている、 改竄されていないコピーと完全に一致するかどうかを確認。

  • 公開予定の 9.1-RELEASE のパッケージには、 当該サーバの外に保管されているコピーが存在しないため、 それらを削除し、9.1-RELEASE の公開前に再構築することに決定。

  • 侵入が疑われるすべてのマシンは、再インストール、 もしくは完全に停止させて破棄とし、 電源の再投入とネットワークへの再接続を行なう前にセキュリティ監査を行なうことに決定。

現時点で推奨される対策

  • CVSup や csup を使って更新している方は、 その方法を即刻止め、その他の方法に移行してください。 これらの方法は古く、将来的に中止されることが決まっています。

  • ports の更新に CVSup や csup を使っている方は、 portsnap(8) に移行してください。ports の開発者は CVS の使用を止めて、 現在は Subversion を使っています。推奨される ports の更新方法に関する詳細は、 http://www.freebsd.org/doc/handbook/ports-using (原文) に書かれています。

  • CVS, anoncvs, CVSup, csup をソースファイルの更新に使っている方は、 署名検証付きバイナリアップデート機能である freebsd-update(8) を使うか、 Subversion の使用を検討してください。使用方法の詳細は、「FreeBSD をソースを使って更新するには (原文)」を参照してください。 Subversion の使用方法と、公式ミラーサーバのリストは、 http://www.freebsd.org/doc/handbook/svn (原文) にあります。

  • portsnap(8) を使っている方は、 portsnap fetch && portsnap extract というコマンドを使って、 最新の配布物を取得してください。 最新の portsnap(8) 配布物は、 セキュリティ監査が行なわれた Subversion リポジトリの内容と完全に一致することが確認されています。 また現時点では、詳細な分析が終了するまで portsnap(8) 配布物の更新が止まっていることに注意してください。

  • あなたの組織に影響があるかどうかは、 組織のセキュリティポリシとベストプラクティスに基づいて判断ください。

  • FreeBSD.org が提供しているバイナリパッケージを使っているシステムのセキュリティ監査を行なってください。 影響のあった期間にインストールされたすべてのパッケージは、 不正な変更が加えられている危険性があります。 プロジェクトでは、不正な変更が加えられた事実を確認していませんが、 影響を受ける可能性があるマシンはすべて再インストールするか、 それが困難であれば サードパーティ製ソフトウェアの再コンパイルを行なうべきです。

このアナウンスに関する質問は、 FreeBSD-security@FreeBSD.org メーリングリストに(英語で)お送りください。 もし、質問内容がメーリングリストによって公開されると困る場合には、 FreeBSD セキュリティチーム 宛に連絡をお願いいたします。

新しい情報が確認されしだい、このページは更新されます。