UnrealIRCd にバックドアが見つかる | スラドセキュリティ

UnrealIRCd にバックドアが見つかる 17

ストーリー by reo 2010年06月16日 12時00分
兄さん背中が煤けてるぜ部門より

ある Anonymous Coward 曰く、

GPL の IRC デーモン UnrealIRCd にて、一部の配布ファイルにバックドアが見つかった模様 (UnrealIRCd のフォーラムへの投稿) 。
バックドアが含まれている可能性があるのは配布ファイル「Unreal3.2.8.1.tar.gz」。これにより、ircd を実行しているユーザーの権限で任意のコマンドを実行されてしまうという。公式のコンパイル済み Windows 版バイナリや CVS、バージョン 3.2.8 以前のものについては問題はないとのことで、フォーラムには問題のあるバージョンではないか確認する方法が掲載されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索17コメント Log In/Create an Account

微妙に間違ってない？ (スコア:3, 参考になる)

by osakanataro (17131) on 2010年06月16日 12時38分 (#1780827) 日記

ミラーサーバのUnrealIRCdがバックドアつきに置き換えられてました
という話だと思うんですが・・・
We found out that the Unreal3.2.8.1.tar.gz file on our mirrors has been replaced quite a while ago with a version with a backdoor (trojan) in it.
何で電子署名＆検証しないの？ (スコア:2, 興味深い)

by kei100 (5854) on 2010年06月16日 20時59分 (#1781140)

こういうミラーが改ざんされてたとかいう話を聞く度に不思議に思うんですが、電子署名をなんでしないんでしょうか？
統一されたコンテナやUI、鍵の取得や維持といったコスト(金銭的以外の手間等といった物含む)が原因なんですかね？
sfとかが、プロジェクトの管理者が指定すれば、配布アーカイブにそのプロジェクト名の署名が追加されるとかになると面白い気もしますが。
もちろん、中身が信用できるか否かという問題はありますが、それ以前の状態って感じなので。
# 一応日本では年間6万弱で個人でも取得可能だったりします。 [globalsign.com](要印鑑証明)
- Re:何で電子署名＆検証しないの？ (スコア:1)
  
  by SteppingWind (2654) on 2010年06月17日 16時33分 (#1781539)
  
  そこまでしなくても, 本家でダウンロード物件のサイズとSHA256あたりのハッシュ値を提示しておいて, ミラーから落としてきた物をそれと突き合わせれば大抵の場合問題無いと思います. 実際, ダウンロードサイトにはSHA256とかMD5(これは今となっては危ないかも)とかのファイルが検証用に用意されていることが多いですし, ハッシュ値だけのダウンロードなら量が少ないですからマスターサイトに集中してもそれほどの負荷にはならないでしょうし.
  私はそのあたりのチェックを自動でやってくれるFreeBSDのportsを使っているので, あまり気にしたことがありませんが.
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  たとえば、あなたは電子署名して配布してますか?
  可能だとわかっていることと、実際に各人が行うことは違うんです。
  - Re:何で電子署名＆検証しないの？ (スコア:1)
    
    by kei100 (5854) on 2010年06月17日 22時03分 (#1781720)
    
    今は署名して配布しますね。残念ながらこの名で配布する物がない状態ですが。
    他にはCD/DVD-Rで直接手渡しとかPGPでとかでしょうか？
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      失礼しました。
      私も電子署名するようにします。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    これとは程度問題が違うけど、Debianのパッケージとか一部パッケージシステムはPGPによる署名検証できるようになってたりするよね
    あと個別配布でも、そのアプリによって(よくあるのはセキュリティ系ツールとか)も自前で署名して配布してたりする
    まあ、面倒ではあるが、確認可能という意味ではいいかなぁ
オープンソースの利点！ (スコア:1, おもしろおかしい)

by Anonymous Coward on 2010年06月16日 12時20分 (#1780811)

ソースが公開されているのでバックドアが仕込まれていてもすぐわかる
オープンソースの利点が証明されましたね！
- Re:オープンソースの欠点！ (スコア:0)
  
  by Anonymous Coward
  
  ソースが公開されているのでバックドアが仕込まれた偽物がすぐ作れる
  オープンソースの欠点が証明されましたね！
リアル裏取りですか？ (スコア:1)

by slashbot.jp (22626) on 2010年06月16日 12時40分 (#1780831)

対戦に裏取りはつきものですから、、、。
[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:0)

by Anonymous Coward on 2010年06月16日 13時40分 (#1780888)

今回の話題とは違いますが・・・

いくらオープンソースで大勢によるレビューが機能しソースコードが健全でも、第三者がビルドしたものをダウンロードして使うのはイケマセン。
- Re:[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:2)
  
  by 127.0.0.1 (33105) on 2010年06月16日 14時13分 (#1780912) 日記
  
  コンパイラが汚染されている可能性もあるから、それも自前で用意しないとね。
  
  って話ですか?
  
  シェア
  
  親コメント
  - Re:[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:1)
    
    by tiny (14608) on 2010年06月16日 20時25分 (#1781125) 日記
    
    http://srad.jp/linux/comments.pl?sid=310291&cid=917480 [srad.jp]
    UNIXの始祖の話ですね。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    何かきりが無いなぁ・・・。
    面倒だからバイナリは本家以外から取るなって事で。
    それはそれで問題な気もするが。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      特許絡みでバイナリ配布しないもの・・・ビデオのコーデックとか・・・だと、野良ビルドのユーザーが多いんじゃないかな。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  第三者は絶対信用しないなんて潔癖性なことを言ってたらLinuxディストリビューションは成り立たない。
  ビルダーが信用できるかどうかもちゃんと検討しないとね、と言うぐらいなら分かるが。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    「信用できる」には二つあるとおもう。
    悪いことをしないってのと、
    悪いものが入ってないものだけリリースするってのと。
    
    後者はとてもハードルが高い。というか不可能。
    現実的には、「赤信号みんなで渡れば...」的に
    なるべく多くのユーザがいるものを使う
    くらいしかないんじゃないかな。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

UnrealIRCd にバックドアが見つかる More ログイン

微妙に間違ってない？ (スコア:3, 参考になる)

何で電子署名＆検証しないの？ (スコア:2, 興味深い)

Re:何で電子署名＆検証しないの？ (スコア:1)

Re: (スコア:0)

Re:何で電子署名＆検証しないの？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

オープンソースの利点！ (スコア:1, おもしろおかしい)

Re:オープンソースの欠点！ (スコア:0)

リアル裏取りですか？ (スコア:1)

[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:0)

Re:[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:2)

Re:[脱線] オープンソースの野良ビルドを使う人も注意 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)