FreeBSD.org、不正侵入を受ける 46
ストーリー by headless
侵入 部門より
侵入 部門より
FreeBSD Projectは、FreeBSD.orgのクラスターで11月11日に不正侵入が検知されたことを発表した(FreeBSD.orgのニュース記事、
本家/.)。
侵入を受けたのは9月19日以降。SSHキーが開発者から流出したことが原因で、脆弱性などによるものではないとのこと。影響を受けるのはサードパーティーのパッケージのみで、FreeBSDのベースシステムは安全だという。調査の結果、ソースコードの改変などは検出されていないが、9月19日から11月11日までにサードパーティーのパッケージをインストール/アップデートした場合は念のためにシステムをチェックし、可能であれば全体を再構築することを推奨している。また、cvsup/csupの利用は即刻中止すべきであるとのことだ。
侵入を受けたのは9月19日以降。SSHキーが開発者から流出したことが原因で、脆弱性などによるものではないとのこと。影響を受けるのはサードパーティーのパッケージのみで、FreeBSDのベースシステムは安全だという。調査の結果、ソースコードの改変などは検出されていないが、9月19日から11月11日までにサードパーティーのパッケージをインストール/アップデートした場合は念のためにシステムをチェックし、可能であれば全体を再構築することを推奨している。また、cvsup/csupの利用は即刻中止すべきであるとのことだ。
脆弱性ではない? (スコア:3, すばらしい洞察)
>脆弱性などによるものではないとのこと
FreeBSDそのものの脆弱性ではないかもしれないけど、「FreeBSD Project」には脆弱性がありそうだね。
Re: (スコア:0)
Windowsを使っていたからこうなったと強弁したりしてw
Re: (スコア:0)
どっからWindowsが出てきたので?
Re: (スコア:0)
使ってる物の所為にするのは馬鹿の証
Re: (スコア:0)
スラドは馬鹿の巣になっちゃうじゃん
脆弱性 (スコア:1)
SSHキーを流出させるメンバーがいるという脆弱性ですよね。
Re: (スコア:0)
ねぇねぇ、なんでそんなに貶めたいの?
Re:脆弱性 (スコア:1)
> ねぇねぇ、なんでそんなに貶めたいの?
以前FreeBSDのMLにしょうもない質問をして
冷たくあしらわれたのを根に持ってるとか?
Re: (スコア:0)
良くも悪くもFreeBSDが利用者と開発者が近いということかもね。
別に他所に行ってもコアなところではきっと同じ光景を見るのに、そこまで深く知らないから少なくともFreeBSDよりはマシだと思ってしまうだけでしょう。
Re: (スコア:0)
デスクトップユーザは確かに少ないけど、サーバ用途だと馬鹿にできない程度にユーザが居るんですが・・・
脱GPLが促進されそうで危機感に溢れてるGPL乞食さんですか?
Re: (スコア:0)
FreeBSDの脱GPLが進むと、
GNUプロジェクトのプロダクトやGPLにべったり依存しながら、
FSFをdisってるオープンソースやLinux界隈の人らは、
実にばつの悪いことになりますからねぇ
Re: (スコア:0)
よくわからないけど、SSHキーを流出させたメンバーとか組織というのは利用者のこと?
何度め~? (スコア:1)
>また、cvsup/csupの利用は即刻中止すべきであるとのことだ。
などと訳のわからない供述をしており…
Re:何度め~? (スコア:1)
>また、cvsup/csupの利用は即刻中止すべきであるとのことだ。
などと訳のわからない供述をしており…
ワークアラウンド
ベースシステムについては FreeBSD Update [freebsd.org]とAnonymous CVS [freebsd.org]を使う
ports については Portsnap [freebsd.org]を使う
というところか。subversion についてはあえて除外
出典 FreeBSD ハンドブック: FreeBSD の入手方法 [freebsd.org]
Re:何度め~? (スコア:2)
今回のニュース(日本語訳 [freebsd.org]、#2274624のAC氏と同じもの)には
•CVSup や csup を使って更新している方は、 その方法を即刻止め、その他の方法に移行してください。 これらの方法は古く、将来的に中止されることが決まっています。
とありますけど、Handbook [freebsd.org]には以前としてCVSについての記述残ってるんだよなぁ。
Re: (スコア:0)
日本語ハンドブックが古いみたいですね。
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/synching.html [freebsd.org]
> Unless the reason is truly compelling, Subversion should be used in preference to other synchronization mechanisms, which have been deprecated and will be discontinued in the future.
Re:何度め~? (スコア:1)
とあるから、Anonymous CVS (anoncvs) は推奨されていないんじゃないかな?
Re:何度め~? (スコア:1)
ようは、ソース取ってきてビルドするんでなくて、署名されたバイナリを使え、ってことですか。タレコミからはそんなことは読み取れませんが。
署名されたバイナリが安全であることは確認済みなんでしょうかね。
Re:何度め~? (スコア:2)
いや, バイナリ使うならfreebsd-update, ソースを使うならSubversionってことでしょう. “either A or B”で「AかBかどちらでも」ってことですから.
Re:何度め~? (スコア:1)
タレこみの元ネタの日本語訳 [freebsd.org]もあるから、一読してみるといいかも。
Re: (スコア:0)
> or Subversion for source.
そこまで嫌われるほどSubversionは問題あるの?
Linusが「史上最も無意味なプロジェクト」とか言うだけのことはあるわ。はやくgitに移行するといいね。
Re: (スコア:0)
> > or Subversion for source.
> そこまで嫌われるほどSubversionは問題あるの?
「Subversion使ってね」というアナウンスを、
どうやったら「Subversion嫌ってる」と解釈できるの?
英語ぜんぜん読めなくて誤解したってこと?
んー? (スコア:0)
つい最近、FreeBSDのアーキテクチャ刷新したストーリーがありましたけど、そっちに影響ないのかな。
#あと、タグのbsdをクリックしても、全然bsdタグの付いたニュースが検索にヒットせず、しょぼい。
#本当に、NerdやGeeks向けじゃ無くなっちゃったんだなぁ。
Re:んー? (スコア:2)
Re: (スコア:0)
ここは昔からアニメ好きなオッサン共が集まる雑談サイトですから
Re: (スコア:0)
今回の侵入ネタにアニメの臭いを嗅ぎ取る感覚は理解できない。
#アニメ好きなオッサンより
第拾参話 「使徒、侵入」 (スコア:0)
FreeBSD Projectの自律解体を提訴・・・否決
と、どこかの国の映画の宣伝かと思ったのは内緒
#やはりアニメ好きなオッサンより
Re: (スコア:0)
> ここは昔からアニメ好きなオッサン共が集まる雑談サイトですから
アニメ要素はあとから入ってきました。
最初はオープンソースな人たちから始まってます。
Re: (スコア:0)
もしかして:FreeBSD、x86アーキテクチャにおいて正式にLLVM/Clangへの移行を果たす [srad.jp]
アーキテクチャ刷新とかそんな話じゃないし(Clangがデフォルトコンパイラになったという話)、記憶違いしてるんじゃない?
Re: (スコア:0)
おお、これです。確かに記憶違いしていました。
ありがとうございます。
9.1 (スコア:0)
FreeBSD 9.1 Releaseの出るのを心待ちにしているのだが、こんなことでこれ以上遅れないといいなぁ、、、
Re:9.1 (スコア:2)
でも、ほかの企業などが不正親友を受けた場合と比べ、非常に率直に状況を公開しているな、とは感じますね。営利目的ではないから隠す必要は無いのでしょうが。
サードパーティーの ports を cvsup/csup しているなら、すぐに portsnap に切り替えろと言っていますね。
「SSHキーが開発者から流出」の原因ですが…稼動状態のPCをひったくられた、弟にPCを使われた、NFS でマウントされた $HOME に .ssh が保存されていた、モラルの無いマシンの管理者がファイルのバックアップデータを読んだ、あたりでしょうか。
Re:9.1 (スコア:2)
一週間ほど前から、ports tree の更新が止まってる(Last database update: 2012-11-11 10:45:48 UTC [freebsd.org])のですが、これって今回の問題の影響ですかね?
「9.1リリースのために滞ってるのかな?でも今までこんなことなかったよなー」とか思ってたところに、今回のニュースなのでちょっと気になります。
#実家に設置してるFreeBSD機を正月の帰省時に9.0→9.1化するつもりだったので、9.1リリースはせめて12月中にして欲しいなーっと…
Re: (スコア:0)
> 非常に率直に状況を公開しているな、と
中の人は、こういうトラブルに嬉々として対処したがるひとたちだし。
ちゃんと異常を検知できてるし、検証体制もできてるよ、というアピール込みですね。
Re: (スコア:0)
>ちゃんと異常を検知できてるし、検証体制もできてるよ、というアピール込みですね。
二ヶ月弱も気が付かないようでは、まともに異常を検知できているとは言えない気がしますが…
Re: (スコア:0)
あるOSSプロジェクトでSSHキーが流出したときは、キーの持ち主本人がwikiページに貼り付けて流出させてました。
あのときも結構長いこと発覚していなかったので、異常検知というのはやはり難しいものなんでしょうか。
小規模なプロジェクトならば、リポジトリを毎度眺めているだけでも利用パターンがつかめるから、そこから外れた更新があれば異変に気づけますが、ある程度以上に規模が大きいとシステム的な巡視が欲しいですね。
Re:9.1 (スコア:1)
FreeBSDのリリースは毎回遅れてゆくものですが、何とか年末には出してほしいですけどね。
自宅のマシンは年末年始の休みで入れ替える予定にしていたものですから。
プロ中のプロがダメならば (スコア:0)
FreeBSD.orgが不正侵入を受けるくらいならば、もう誰だって何処だって不正侵入受けるだろう。
って気がしてしまった。
「某CIA長官のメールがグーグルから(政府機関へ)ダダ漏れ。CIA長官でもメールが第三者に読まれるのならばもうメールにはプライバシーはない。」
っていう風潮と同じ感じで。
いや、サーバーに侵入を受けるって、人為的なミスからソーシャルサイエンス的的なものまで含めていろいろあるので技術の問題じゃないという人もいるかもしれないが、そういうのも全てひっくるめてセキュリティなので。限りある予算・時間・人員・設備の中でのセキュリティの意味でも。
Re: (スコア:0)
> FreeBSD.orgが不正侵入を受けるくらいならば、もう誰だって何処だって不正侵入受けるだろう。
いや、まだOpenBSDがあるじゃないか!
Re:プロ中のプロがダメならば (スコア:1)
OpenBSDプロジェクトも、ftpサーバーに侵入されて、opensshのソース配布イメージを
差し替えられたことがあったよね...
http://www.unixuser.org/~haruyama/security/openssh/dat/pc.2ch.net_80__... [unixuser.org]
Re: (スコア:0)
既出: #2274774 [srad.jp]
だから (スコア:0)
OpenBSDにしとけとあれほど…