trojan.adv の翻訳です。-yusuke
----------------------------------------------------------
OpenSSH Security Advisory (adv.trojan)
1. 影響をうけるシステム:
OpenSSH バージョン 3.2.2p1、 3.4p1 および 3.4 は OpenBSD ftp サーバ上で
トロイの木馬に置き換えられており、通常のミラーリングプロセスによって
別の ftp サーバに伝染している可能性があります。
このコードは 7月30日から 31日にかけてのあいだに挿入されました。
私たちは山岳部夏時間(MDT)で 8月1日 朝7時 (日本時間 8月1日 夜10時) に
これらのトロイの木馬をもとのファイルに戻しました。
2. 影響:
この期間に OpenBSD の ftp サーバあるいはそのミラーから
OpenSSH をインストールしたユーザは、システムが破られていると
考えてください。今回のトロイの木馬は、攻撃側がそのバイナリを
コンパイルしたユーザの権限でシステムをコントロールできるようにします。
任意のコマンドが実行される可能性があります。
3. 解決方法:
トロイの木馬バージョンのソースをビルドしていないかどうか確かめてください。
移植版 SSH の tar ball には、インストール前に確認すべき PGP 署名が
含まれています。以下の MD5 チェックサムを使って確認することもできます。
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a
4. 詳細
OpenSSH のバイナリをビルドするさい、bf-test.c というファイルに
トロイの木馬が入っており、特定の IP アドレスに接続するようになります。
この転送先ポートはふつう IRC プロトコルで使われるものです。
接続は 1時間に 1回試みられます。もし接続が成功した場合、
任意のコマンドが実行される可能性があります。
このバックドアは 3つのコマンドを理解します:
コマンド A: この穴を kill する。
コマンド D: コマンドを実行する。
コマンド M: sleep に移行する。
5. 注意:
緊急事態のため、この advisory は完全ではないかもしれません。
続報が必要な場合は OpenSSH ウェブページに掲載されます。