OpenSSHパッケージに不正署名の恐れ

レッドハットやFedora Projectのサーバに不正侵入

2008/08/25

　米レッドハットは現地時間の8月22日、同社システムがその前の週に、外部からの不正侵入を受けたことを明らかにした。この結果、Linuxディストリビューション「Red Hat Enterprise Linux 4／5」に含まれるOpenSSHパッケージに、侵入者による署名が加えられた恐れがある。同社は、再署名を施したパッケージを公表するとともに、手元のパッケージがこの問題の影響を受けたものかどうかをチェックするスクリプトも公表している。

　ソフトウェアパッケージには、そのパッケージが確かに当該ディストリビュータによって配布され、コードが改ざんされていないことを示すために署名が加えられる。しかし今回の不正侵入のように、攻撃者によって不正な署名がなされると、仮にその内容が書き換えられ、バックドアなどの悪意あるプログラムが含まれていたとしても「正当なパッケージ」として検証されてしまう可能性がある。

　影響を受ける可能性があるのは、「Red Hat Desktop v.4」「Red Hat Enterprise Linux v.4」「Red Hat Enterprise Linux AS v.4/4.5.z」「Red Hat Enterprise Linux Desktop v. 5 client」「Red Hat Enterprise Linux ES v.4/4.5.z」および「Red Hat Enterprise Linux WS v.4」だ。

　なおFedora Projectも同日、レッドハットと同時期に不正侵入を受けていたことを明らかにしている。Fedora Projectのアナウンスによると、Fedoraパッケージに署名するためのサーバを含む、複数のサーバが侵入を受けた。同プロジェクトは、Fedoraパッケージへ署名されるための鍵が破られたという決定的証拠は存在しないとする一方で、複数のミラーサーバを経由して配布されていることから、念のため新しい鍵へ変更することを決定したという。