【詳細情報】Conectiva社がwgetのセキュリティアップデートをリリース

◆概要：
　Conectiva社がwgetに対するセキュリティアップデートをリリースした。Wgetは、Unixシステムの人気の高いコマンドラインHTTPおよびFTPミラーリングツールである。

　敵意のあるFTPサーバーや、仲介者（man-in-the-middle）攻撃の実行者は、FTPサーバー応答を変更して、先頭ダブルドットシーケンス(../)やその他の関連攻撃をファイルのパス名に組み込むことができる。そのためwgetの利用により、攻撃者が.profileなどの任意ファイルを上書きできるようになる。さらに、ユーザーがリモートシステムに次回ログインした際に、このようなファイルを使ってシステム上でコマンドを実行することができる。

　wgetをrootで実行すると(自動ミラーリングタスクの実行時など)、攻撃者はパスワードファイルの上書き、システム設定の変更、リモートシステムをコントロールするための様々な攻撃を実行できるようになる。

　この脆弱性に対する攻撃用プログラムは未公表であるが、攻撃用プログラム自体は既に存在しており、ベンダーに配布されている。また、このようなプログラム作成の詳細情報は公開済みである。

◆情報ソース：
・Red Hat Inc. (RHSA-2002:229-10), Dec. 10, 2002
・MandrakeSoft Inc. (MDKSA-2002:086), Dec. 11, 2002
・Debian Project (DSA-209-1), Dec. 12, 2002
・Conectiva Inc. (CLSA-2002:552), Dec. 13, 2002

◆キーワード：
　Conectiva: Linux 7.x Conectiva: Linux 6.x
　Conectiva: Linux 8.x

◆分析：
　全てのミラーリングツールと自動データダウンロードタスクを制限付きユーザーとして実行し、rootなどの特権付きユーザーとしての実行を回避する必要がある。可能であれば、クライアントエンドでchrootを利用し、ミラーリングツールのファイルシステムへのアクセスを最小限に抑える。また、ステージングサーバーを利用して、重要な内部サーバーを保護する。強力な暗号（SSH、SSLやIPSecなど）を正しく使用すれば、仲介者攻撃を効果的に防御できる。

◆検知方法：
　以下の製品とベンダーが、この問題の影響を受ける。

　バージョン1.8.2までのwgetの脆弱性が確認されている（最新のソースコードリリース）
　Conectiva社では、Conectiva Linux 6.0、7.0、および8で、脆弱性を確認している。
　Debian Project社では、Debian Linux 2.2と3.0の両方でこの問題を確認している。
　MandrakeSoft社は、Mandrake Linux 7.2、8.0、8.1、8.2、9.0およびSingle Network Firewall 7.2の脆弱性を確認している。
　Red Hat社は、全アーキテクチャ上のRed Hat Linux 6.2、7.0、7.1、7.2、7.3および8.0の脆弱性を確認している。
　SuSE 社は、SuSE Linux 8.0の脆弱性を確認している。また、これよりも前のバージョンも脆弱であると思われる。
　SuSE 社は、SuSE Linux 9.0の脆弱性を確認している。また、これよりも前のバージョンも脆弱であると思われる。
　ほとんどのLinuxおよびBSDベンダーはwgetを出荷しているだけでなく、ほぼ全てのUnixベンダーがwgetをOpenSource/FreeWareアドオンパッケージに組み込んでいるため、全ての当該ベンダーが脆弱である。

◆暫定処置：
　wgetを非特権ユーザーとして実行する。chroot'ed環境での実行が望ましい。

◆ベンダー情報：
　以下のようなアップデートとパッチが既に発表されている。

　wgetではアップデート済みバージョンをリリースしていないが、Red Hat社のソースRPMには、同社がリリースしたwget-1.8.2-filename.patchという名前のパッチファイルが含まれている。RPMファイルからこのパッチファイルを抽出して、ソースコードの修正に利用すること。
　Conectiva社によるアップデートは、 http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000552 から入手可能。
　Debian Project社によるアップデートは、 http://www.debian.org/security/2002 から入手可能。
　MandrakeSoft社がリリースしたアップデートは、 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:086 から入手可能。
　Red Hat社がリリースしたアップデートは同社のアップデートネットワーク http://rhn.redhat.com/errata/RHSA-2002-229.html から入手可能。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【00:00 GMT、12、16、2002】