UnrealIRCd にバックドアが見つかる 17
ストーリー by reo
兄さん背中が煤けてるぜ 部門より
兄さん背中が煤けてるぜ 部門より
ある Anonymous Coward 曰く、
GPL の IRC デーモン UnrealIRCd にて、一部の配布ファイルにバックドアが見つかった模様 (UnrealIRCd のフォーラムへの投稿) 。
バックドアが含まれている可能性があるのは配布ファイル「Unreal3.2.8.1.tar.gz」。これにより、ircd を実行しているユーザーの権限で任意のコマンドを実行されてしまうという。公式のコンパイル済み Windows 版バイナリや CVS、バージョン 3.2.8 以前のものについては問題はないとのことで、フォーラムには問題のあるバージョンではないか確認する方法が掲載されている。
微妙に間違ってない? (スコア:3, 参考になる)
ミラーサーバのUnrealIRCdがバックドアつきに置き換えられてました
という話だと思うんですが・・・
何で電子署名&検証しないの? (スコア:2, 興味深い)
こういうミラーが改ざんされてたとかいう話を聞く度に不思議に思うんですが、電子署名をなんでしないんでしょうか?
統一されたコンテナやUI、鍵の取得や維持といったコスト(金銭的以外の手間等といった物含む)が原因なんですかね?
sfとかが、プロジェクトの管理者が指定すれば、配布アーカイブにそのプロジェクト名の署名が追加されるとかになると面白い気もしますが。
もちろん、中身が信用できるか否かという問題はありますが、それ以前の状態って感じなので。
# 一応日本では年間6万弱で個人でも取得可能だったりします。 [globalsign.com](要印鑑証明)
Re:何で電子署名&検証しないの? (スコア:1)
そこまでしなくても, 本家でダウンロード物件のサイズとSHA256あたりのハッシュ値を提示しておいて, ミラーから落としてきた物をそれと突き合わせれば大抵の場合問題無いと思います. 実際, ダウンロードサイトにはSHA256とかMD5(これは今となっては危ないかも)とかのファイルが検証用に用意されていることが多いですし, ハッシュ値だけのダウンロードなら量が少ないですからマスターサイトに集中してもそれほどの負荷にはならないでしょうし.
私はそのあたりのチェックを自動でやってくれるFreeBSDのportsを使っているので, あまり気にしたことがありませんが.
Re: (スコア:0)
可能だとわかっていることと、実際に各人が行うことは違うんです。
Re:何で電子署名&検証しないの? (スコア:1)
今は署名して配布しますね。残念ながらこの名で配布する物がない状態ですが。
他にはCD/DVD-Rで直接手渡しとかPGPでとかでしょうか?
Re: (スコア:0)
私も電子署名するようにします。
Re: (スコア:0)
これとは程度問題が違うけど、Debianのパッケージとか一部パッケージシステムはPGPによる署名検証できるようになってたりするよね
あと個別配布でも、そのアプリによって(よくあるのはセキュリティ系ツールとか)も自前で署名して配布してたりする
まあ、面倒ではあるが、確認可能という意味ではいいかなぁ
オープンソースの利点! (スコア:1, おもしろおかしい)
ソースが公開されているのでバックドアが仕込まれていてもすぐわかる
オープンソースの利点が証明されましたね!
Re:オープンソースの欠点! (スコア:0)
オープンソースの欠点が証明されましたね!
リアル裏取りですか? (スコア:1)
[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:0)
いくらオープンソースで大勢によるレビューが機能しソースコードが健全でも、第三者がビルドしたものをダウンロードして使うのはイケマセン。
Re:[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:2)
って話ですか?
Re:[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:1)
http://srad.jp/linux/comments.pl?sid=310291&cid=917480 [srad.jp]
UNIXの始祖の話ですね。
Re: (スコア:0)
何かきりが無いなぁ・・・。
面倒だからバイナリは本家以外から取るなって事で。
それはそれで問題な気もするが。
Re: (スコア:0)
Re: (スコア:0)
第三者は絶対信用しないなんて潔癖性なことを言ってたらLinuxディストリビューションは成り立たない。
ビルダーが信用できるかどうかもちゃんと検討しないとね、と言うぐらいなら分かるが。
Re: (スコア:0)
悪いことをしないってのと、
悪いものが入ってないものだけリリースするってのと。
後者はとてもハードルが高い。というか不可能。
現実的には、「赤信号みんなで渡れば...」的に
なるべく多くのユーザがいるものを使う
くらいしかないんじゃないかな。