Fedora Projectがクラックの被害に：Security Incident Report

不正アクセスを受けたFedora Projectのサーバの中に、Fedoraパッケージに署名するための署名サーバが含まれていたことで、Fedora Project、Red Hatともに原因究明を急いでいる。

[西尾泰三，ITmedia]

　Linuxディストリビューション「Fedora」を開発するFedora Projectが不正アクセスを受けたことが分かった。すでに短信として「Red Hatの社内システムに不正侵入」を公開しているが、もう少し詳細な内容をまとめた。

Fedora-Announce mailing listにポストされた内容をまとめると、8月10日からの週で、複数のFedoraサーバが不正アクセスを受け、そのうちの1つにFedoraパッケージに署名するための署名サーバが含まれていたという。

　もしFedoraパッケージに署名するGPGキーを保証するパスフレーズを攻撃者が解析していたとすれば、脆弱なパッケージであっても署名できてしまい、インストール時の署名確認をすり抜けることが可能となるため、非常に重大な問題になり得る。

　現時点までの調査の結果、「Fedoraパッケージ署名キーが侵害されたという“決定的な証拠”は現時点までに存在しない」としつつも、Fedoraパッケージが複数の第三者によるミラーやレポジトリを通じて配布されている現状から、侵入者が幾つかのパッケージに署名するチャンスがあった可能性も捨てきれないため、新しいFedora署名キーに移行することが決定された。

　Fedoraパッケージ署名キーはRed Hat Enterprise Linux（RHEL）パッケージと関連がなく、FedoraパッケージをRHELやRHEL互換のディストリビューションで利用するためのコミュニティ追加パッケージ「Extra Packages for Enterprise Linux」（EPEL）の署名キーとも異なるとしており、一見するとRHELはこの影響を受けないような印象を受ける。にもかかわらず、侵入者はRHEL 4／5用のopensshパッケージに署名できる可能性があったとし、RHEL 4（i386,x86_64）とRHEL 5（x86_64）のopensshパッケージのアップデートと署名キーをチェックするスクリプトをリリースしたことを併せて伝えている。

　署名キーが異なるとしながら、なぜこのパッケージだけ署名された可能性が生じるのか、また、不正アクセスの発生日時や侵入手順の詳細などは現時点で詳細には語られていない。同様の被害が起こらないか引き続き注視しておく必要があるだろう。