狙われるCVSサーバに注意を、IPA/ISECが警告

IPA/ISECは、BSDやLinuxで幅広く利用されているバージョン管理システム「CVS」に見つかった脆弱性について、改めて警告を発した。

» 2004年06月03日 18時47分 公開
[高橋睦美,ITmedia]

 情報処理推進機構セキュリティセンター(IPA/ISEC)は6月3日、BSDやLinuxで幅広く利用されているバージョン管理システム、CVS(Concurrent Versions System)に見つかった脆弱性について、改めて警告を発した。

 この脆弱性は去る5月19日に公になったもの。CVSのエントリ行のフラグ処理に問題があり、バッファオーバーフロー(ヒープオーバーフロー)が引き起こされる恐れがある。悪用されれば、DoS状態に陥ったり、リモートから任意のコードを実行されてしまう可能性もある深刻なものだ。

 問題をさらに深刻にしている要素がある。US-CERTの情報によると、この脆弱性を悪用するにはCVSサーバに対する認証を済ませる必要があるのだが、何もわざわざユーザーIDが発行されなくとも、当該サーバがAnonymousユーザーに対し読み取りのみの権限を与えていれば、悪用が可能という。これは多くのCVSサーバに見られる設定だ。その上、この問題を悪用するExploitコードも公になっている。

 5月24日にはCVSHome自身が、この問題を突かれたと思しき不正アクセスを受けたことが報告された。またほぼ同時期に、もじら組のサーバやNamazu Projectのサーバが不正侵入を受けたことも明らかになっている。

 この問題への根本的な対策は、脆弱性を修正した最新バージョン、CVS をversion 1.11.16もしくは1.12.8にアップグレードすることだ。それが不可能ならば、少なくとも回避策としてCVSサーバを停止するか、当該サーバに対するアクセスを遮断/制限する、あるいはCVSサーバの操作権限を制限すべきとIPA/ISECは推奨している。事実、一連の問題を踏まえ、日本 Samba ユーザ会はanonymous CVS サービスをいったん停止することをアナウンスした。

 問題は、脆弱性が発見され、被害が報告され始めてから日数がたってしまっていることだ。手元でCVSサーバを立ち上げている場合、それと知らずに不正侵入され、改ざんやrootkitなど悪意あるプログラムの埋め込みを受けた可能性は否定できない。システムが被害を受けていないかの調査も含めた速やかな対応が必要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ