公開日:2002/11/18 最終更新日:2002/11/18

JVNCA-2002-24
OpenSSH にしかけられたトロイの木馬

概要


日本時間 2002 年 8 月 1 日ごろ、 ftp.openssh.com および ftp.openbsd.org において配布している OpenSSH 3.2.2p1、3.4p1 および 3.4 のソースパッケージが改ざんされ、トロイの木馬がしかけられていました。また、いくつかのミラーサイトからも同様の状態で配布されていた可能性があります。

なお、上記 2 サイトにおいて、オリジナルのソースパッケージに戻されたのは、日本時間 2002 年 8 月 1 日(木) 22 時です。

改ざんされたソースパッケージから SSH をコンパイルすると、コンパイル中にプログラムが起動し、ある特定の IP アドレスの 6667/tcp に接続します。なお、SSH のプログラム自体には改ざんは行なわれていないことが報告されています。

影響を受けるシステム

詳細情報

想定される影響


遠隔から第三者が OpenSSH にしかけられたトロイの木馬にアクセスし、OpenSSH をコンパイルしたユーザの権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2002-24に対する富士通の情報
富士通 CA-2002-24に対するSolaris OEの情報
OpenBSD OpenSSH Security Advisory (adv.trojan)
Turbolinux Japan openssh: opensshにしかけられたトロイの木馬の件

参考情報

  1. CERT Incident Note IN-2001-06
    Verification of Downloaded Software
  2. LAC
    CERT Advisory CA-2002-24 Trojan Horse OpenSSH Distribution [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-3001
JPCERT/CC REPORT 2002-08-07
CERT Advisory CERT Advisory CA-2002-24
Trojan Horse OpenSSH Distribution
CPNI Advisory
TRnotes
CVE
JVN iPedia