パスワードを忘れた? アカウント作成
6590901 story
BSD

FreeBSD.org、不正侵入を受ける 46

ストーリー by headless
侵入 部門より
FreeBSD Projectは、FreeBSD.orgのクラスターで11月11日に不正侵入が検知されたことを発表した(FreeBSD.orgのニュース記事本家/.)。

侵入を受けたのは9月19日以降。SSHキーが開発者から流出したことが原因で、脆弱性などによるものではないとのこと。影響を受けるのはサードパーティーのパッケージのみで、FreeBSDのベースシステムは安全だという。調査の結果、ソースコードの改変などは検出されていないが、9月19日から11月11日までにサードパーティーのパッケージをインストール/アップデートした場合は念のためにシステムをチェックし、可能であれば全体を再構築することを推奨している。また、cvsup/csupの利用は即刻中止すべきであるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 脆弱性ではない? (スコア:3, すばらしい洞察)

    by YF19 (12943) on 2012年11月18日 11時32分 (#2274397) 日記

    >脆弱性などによるものではないとのこと

    FreeBSDそのものの脆弱性ではないかもしれないけど、「FreeBSD Project」には脆弱性がありそうだね。

    • by Anonymous Coward

      Windowsを使っていたからこうなったと強弁したりしてw

      • by Anonymous Coward

        どっからWindowsが出てきたので?

      • by Anonymous Coward

        使ってる物の所為にするのは馬鹿の証

        • by Anonymous Coward

          スラドは馬鹿の巣になっちゃうじゃん

  • by genkikko (36404) on 2012年11月18日 11時34分 (#2274399) ホームページ 日記

    SSHキーを流出させるメンバーがいるという脆弱性ですよね。

  • by Anonymous Coward on 2012年11月18日 13時15分 (#2274424)

    >また、cvsup/csupの利用は即刻中止すべきであるとのことだ。

    などと訳のわからない供述をしており…

    • by Anonymous Coward on 2012年11月18日 17時39分 (#2274508)

      >また、cvsup/csupの利用は即刻中止すべきであるとのことだ。

      などと訳のわからない供述をしており…

      ワークアラウンド
      ベースシステムについては FreeBSD Update [freebsd.org]とAnonymous CVS [freebsd.org]を使う
      ports については Portsnap [freebsd.org]を使う
      というところか。subversion についてはあえて除外

      出典 FreeBSD ハンドブック: FreeBSD の入手方法 [freebsd.org]

      親コメント
      • by shinshimashima (9763) on 2012年11月19日 11時04分 (#2274804) 日記

        今回のニュース(日本語訳 [freebsd.org]、#2274624のAC氏と同じもの)には

        •CVSup や csup を使って更新している方は、 その方法を即刻止め、その他の方法に移行してください。 これらの方法は古く、将来的に中止されることが決まっています。

        とありますけど、Handbook [freebsd.org]には以前としてCVSについての記述残ってるんだよなぁ。

        親コメント
      • by Anonymous Coward on 2012年11月18日 18時56分 (#2274542)

        If you were using cvs/anoncvs/cvsup/csup for src, you should consider either freebsd-update(8) for signed binary distribution or Subversion for source.

            とあるから、Anonymous CVS (anoncvs) は推奨されていないんじゃないかな?

        親コメント
        • by Anonymous Coward on 2012年11月18日 20時51分 (#2274590)

          ようは、ソース取ってきてビルドするんでなくて、署名されたバイナリを使え、ってことですか。タレコミからはそんなことは読み取れませんが。
          署名されたバイナリが安全であることは確認済みなんでしょうかね。

          親コメント
          • by SteppingWind (2654) on 2012年11月19日 11時27分 (#2274826)

            いや, バイナリ使うならfreebsd-update, ソースを使うならSubversionってことでしょう. “either A or B”で「AかBかどちらでも」ってことですから.

            親コメント
          • by Anonymous Coward on 2012年11月18日 22時07分 (#2274624)

                タレこみの元ネタの日本語訳 [freebsd.org]もあるから、一読してみるといいかも。

            親コメント
          • by Anonymous Coward

            > or Subversion for source.
            そこまで嫌われるほどSubversionは問題あるの?
            Linusが「史上最も無意味なプロジェクト」とか言うだけのことはあるわ。はやくgitに移行するといいね。

            • by Anonymous Coward

              > > or Subversion for source.
              > そこまで嫌われるほどSubversionは問題あるの?

              「Subversion使ってね」というアナウンスを、
              どうやったら「Subversion嫌ってる」と解釈できるの?
              英語ぜんぜん読めなくて誤解したってこと?

  • by Anonymous Coward on 2012年11月18日 12時04分 (#2274401)

    つい最近、FreeBSDのアーキテクチャ刷新したストーリーがありましたけど、そっちに影響ないのかな。

    #あと、タグのbsdをクリックしても、全然bsdタグの付いたニュースが検索にヒットせず、しょぼい。
    #本当に、NerdやGeeks向けじゃ無くなっちゃったんだなぁ。

    • by headless (41064) on 2012年11月18日 15時50分 (#2274480)
      タグはなぜか一覧に反映されないものが多いようです。検索機能 [srad.jp]の利用をおすすめします。
      親コメント
    • by Anonymous Coward

      ここは昔からアニメ好きなオッサン共が集まる雑談サイトですから

      • by Anonymous Coward

        今回の侵入ネタにアニメの臭いを嗅ぎ取る感覚は理解できない。
        #アニメ好きなオッサンより

        • FreeBSD Projectの自律解体を提訴・・・否決

          と、どこかの国の映画の宣伝かと思ったのは内緒
          #やはりアニメ好きなオッサンより

      • by Anonymous Coward

        > ここは昔からアニメ好きなオッサン共が集まる雑談サイトですから

        アニメ要素はあとから入ってきました。
        最初はオープンソースな人たちから始まってます。

    • by Anonymous Coward

      もしかして:FreeBSD、x86アーキテクチャにおいて正式にLLVM/Clangへの移行を果たす [srad.jp]

      アーキテクチャ刷新とかそんな話じゃないし(Clangがデフォルトコンパイラになったという話)、記憶違いしてるんじゃない?

      • by Anonymous Coward

        おお、これです。確かに記憶違いしていました。
        ありがとうございます。

  • by Anonymous Coward on 2012年11月18日 12時35分 (#2274410)

    FreeBSD 9.1 Releaseの出るのを心待ちにしているのだが、こんなことでこれ以上遅れないといいなぁ、、、

    • by Technical Type (3408) on 2012年11月18日 17時57分 (#2274518)
      確かに。若干、遅れることがあっても年内には9.1リリースが出るだろうと思っていたけれど、これだと「本当に影響は無いのか?」を徹底的にチェックするとなると、コアメンバーやコミッターの誰かが影響調査でパワーを割かれるのはやむを得ないでしょうね。
      でも、ほかの企業などが不正親友を受けた場合と比べ、非常に率直に状況を公開しているな、とは感じますね。営利目的ではないから隠す必要は無いのでしょうが。
      サードパーティーの ports を cvsup/csup しているなら、すぐに portsnap に切り替えろと言っていますね。
      「SSHキーが開発者から流出」の原因ですが…稼動状態のPCをひったくられた、弟にPCを使われた、NFS でマウントされた $HOME に .ssh が保存されていた、モラルの無いマシンの管理者がファイルのバックアップデータを読んだ、あたりでしょうか。
      親コメント
      • by taka2 (14791) on 2012年11月19日 12時46分 (#2274893) ホームページ 日記

        一週間ほど前から、ports tree の更新が止まってる(Last database update: 2012-11-11 10:45:48 UTC [freebsd.org])のですが、これって今回の問題の影響ですかね?
        「9.1リリースのために滞ってるのかな?でも今までこんなことなかったよなー」とか思ってたところに、今回のニュースなのでちょっと気になります。

        #実家に設置してるFreeBSD機を正月の帰省時に9.0→9.1化するつもりだったので、9.1リリースはせめて12月中にして欲しいなーっと…

        親コメント
      • by Anonymous Coward

        > 非常に率直に状況を公開しているな、と

        中の人は、こういうトラブルに嬉々として対処したがるひとたちだし。
        ちゃんと異常を検知できてるし、検証体制もできてるよ、というアピール込みですね。

        • by Anonymous Coward

          >ちゃんと異常を検知できてるし、検証体制もできてるよ、というアピール込みですね。

          二ヶ月弱も気が付かないようでは、まともに異常を検知できているとは言えない気がしますが…

      • by Anonymous Coward

        あるOSSプロジェクトでSSHキーが流出したときは、キーの持ち主本人がwikiページに貼り付けて流出させてました。
        あのときも結構長いこと発覚していなかったので、異常検知というのはやはり難しいものなんでしょうか。

        小規模なプロジェクトならば、リポジトリを毎度眺めているだけでも利用パターンがつかめるから、そこから外れた更新があれば異変に気づけますが、ある程度以上に規模が大きいとシステム的な巡視が欲しいですね。

    • by jaos (45820) on 2012年11月18日 22時35分 (#2274638) 日記

      FreeBSDのリリースは毎回遅れてゆくものですが、何とか年末には出してほしいですけどね。
      自宅のマシンは年末年始の休みで入れ替える予定にしていたものですから。

      親コメント
  • by Anonymous Coward on 2012年11月19日 3時31分 (#2274702)

    FreeBSD.orgが不正侵入を受けるくらいならば、もう誰だって何処だって不正侵入受けるだろう。
    って気がしてしまった。

    「某CIA長官のメールがグーグルから(政府機関へ)ダダ漏れ。CIA長官でもメールが第三者に読まれるのならばもうメールにはプライバシーはない。」
    っていう風潮と同じ感じで。

    いや、サーバーに侵入を受けるって、人為的なミスからソーシャルサイエンス的的なものまで含めていろいろあるので技術の問題じゃないという人もいるかもしれないが、そういうのも全てひっくるめてセキュリティなので。限りある予算・時間・人員・設備の中でのセキュリティの意味でも。

  • by Anonymous Coward on 2012年11月19日 9時50分 (#2274774)

    OpenBSDにしとけとあれほど…

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...