Red Hatの「Ceph」のコミュニティサイトと、Cephの商用展開を行っているInktankのダウンロードサイトの両方がクラッキングを受けていたことが明らかになった。
実際に何が起こったのか、コードの改変があったのかなどの詳細については、まだ分かっていない。Red Hatは、「侵入に関する調査はまだ進行中だが、われわれはまず両サイトで提供されるソフトウェアと配布チャネルの完全性について集中して取り組んだ」と述べている。
良いニュースは、「現在までの調査では、これらのサイトにダウンロード可能な改変されたコードは見つかっていない」ことだ。一方悪いニュースとして、Red Hatは「過去の特定の時点で、一部改変されたコードが提供されていた可能性を排除できていない」という。
さらに悪いことに、このクラッキングはRed Hatが後援するCentOSのCephだけでなく、Ubuntu LinuxのCephにも影響がある。これは、この2つがdownload.inktank.comで提供されているコードに依存しているためだ。CentOS版およびUbuntu版のCephは、Inktankの署名鍵(id 5438C7019DCEEEAD)で署名されていた。それに加え、ceph.comでは、Cephの署名鍵(id 7EBFDD5D17ED316D)で署名されたCephコミュニティ版のアップストリームパッケージも提供されていた。
Red Hatのセキュリティブログによれば、同社は「もはやInktankの署名鍵の完全性を信頼しておらず、このためRed Hat Ceph Storage製品の各バージョンを、標準のRed Hatリリース鍵で再署名した。Red Hat Ceph Storage製品の顧客は、Red Hatのリリース鍵に署名されたバージョンのみを使用すべきだ」という。
今回のクラッキングでは、download.ceph.comやgit.ceph.comなどのほかのCephのサイトは影響を受けていない。また、Cephコミュニティのほかのインフラに対する影響もまだ見つかっていない。ビルドシステムやCephのgithubソースリポジトリが侵害を受けた形跡はない。
Cephは、「ceph.comおよびdownload.ceph.com用の新しいホストが作成され、これらのサイトは再構築された。download.ceph.com上のすべてのコンテンツは検証済みであり、パッケージ配布のためのceph.comのすべてのURLは現在こちらにリダイレクトされている。現在download.ceph.com上にまだない一部のコンテンツは、本日中に提供される。ソースのtarballがgitから再生成され、古いリリース用パッケージは、新しいリリース鍵で再署名される予定となっている」と述べている。
Red Hat Enterprise Linux(RHEL)のRed Hat Ceph Storageはこの問題の影響を受けない。また、ほかのRed Hat製品にも影響はない。
Cephの安全なバージョンのダウンロード、検証、インストールについては、Cephのブログを参照してほしい。
Red Hatは、今回のクラッキングがどのように発生したかについて、まだ把握していない。ただし、ハッキングされたサイトは「Red Hatのインフラの外部にあるコンピュータシステム上でホストされていた」としている。再構築されたサイトは、現在はRed Hatの社内インフラ上に問題なく配置されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。