【セキュリティー】

セキュアシェル「OpenSSH」3.4p1などにトロイの木馬が埋め込まれる

■URL
http://www.cert.org/advisories/CA-2002-24.html
http://www.openssh.com/txt/trojan.adv

 CERT/CCは、セキュアシェル「OpenSSH」のUNIX系OS向け最新版である「OpenSSH 3.4p1」、「OpenSSH 3.4」、「OpenSSH 3.2.2p1」のファイルが改ざんされ、トロイの木馬が埋め込まれたバージョンに置き換えられていることを報告した。

 開発プロジェクトであるOpenSSHによると、ファイルを置き換えられたのは、7月30日から31日の間で、8月1日の22時(日本時間)には正常なファイルとの交換が終了したとのこと。問題となっているファイル元は、「OpenSSH」の公式サイトに置かれているもの。同サイトから「OpenSSH 3.4p1」をダウンロードした場合、トロイの木馬が埋め込まれたものである可能性が高い。トロイの木馬が埋め込まれたバージョンを利用している場合、IPアドレス「203.62.158.32」のポート6667番に接続しようとするシェルスクリプトが生成される。

 上記の期間に「OpenSSH」3.4、3.4p1、3.2.2p1をダウンロードしたユーザーは、MD5チェックサムを行なうことによって、トロイの木馬が埋め込まれているかどうかを調べることが可能だ。具体的には、ダウンロードしてきたファイルをMD5チェックサムした結果が

・openssh-3.4p1.tar.gzの場合「459c1d0262e939d6432f193c7a4ba8a8」
・openssh-3.4p1.tar.gz.sigの場合「d5a956263287e7fd261528bb1962f24c」
・openssh-3.4.tgzの場合「39659226ff5b0d16d0290b21f67c46f2」
・openssh-3.2.2p1.tar.gzの場合「9d3e1e31e8d6cdbfa3036cb183aa4a01」
・openssh-3.2.2p1.tar.gz.sigの場合「be4f9ed8da1735efd770dc8fa2bb808a」

の場合には正常なファイルで、「3ac9bc346d736b4a51d676faa2a08a57」となる場合には置き換えられたトロイの木馬を含むファイルとなる。

(2002/8/2)

[Reported by otsu-j@impress.co.jp / Watchers]

ほかの記事はこちらから

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2002 Impress Corporation All rights reserved.