公開日:2002/11/18 最終更新日:2002/11/18

JVNCA-2002-30
tcpdump, libpcap にしかけられたトロイの木馬

概要


日本時間 2002 年11 月11 日(月) 19時ころから数日間に渡って、 www.tcpdump.org において配布している tcpdump, libpcap のソースパッケージが改ざんされ、トロイの木馬がしかけられていました。また、いくつかのミラーサイトからも同様の状態で配布されていた可能性があります。
なお、www.tcpdump.org において、改ざんされたパッケージの配布が停止されたのは、日本時間 2002 年 11 月14 日(木) 0 時頃です。

改ざんされたソースパッケージから tcpdump, libpcap をコンパイルすると、コンパイル中にプログラムが起動し、ある特定の IP アドレスのポート番号 80/tcp, 1963/tcp に接続します。

影響を受けるシステム

詳細情報

想定される影響


遠隔から第三者が tcpdump にしかけられたトロイの木馬にアクセスし、tcpdump をコンパイルしたユーザの権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2002-30に対する富士通の情報
富士通 CA-2002-30に対するSolaris OEの情報
Turbolinux Japan tcpdump libpcap: tcpdumpとlibpcapにしかけられたトロイの木馬の件

参考情報

  1. CERT Incident Note IN-2001-06
    Verification of Downloaded Software
  2. CIAC Bulletin N-014
    Trojan Horse tcpdump and libpcap Distributions
  3. LAC
    CERT Advisory CA-2002-30 Trojan Horse tcpdump and libpcap Distributions [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-4501
JPCERT/CC REPORT 2002-11-20
CERT Advisory CERT Advisory CA-2002-30
Trojan Horse tcpdump and libpcap Distributions
CPNI Advisory
TRnotes
CVE
JVN iPedia