読者です 読者をやめる 読者になる 読者になる

rkhunterで警告が出るようになった(nss-softokn-freeblが原因?)

CentOS 6.6にて、rkhunter で定期検査していたら、次のような警告が出るようになった。

Warning: No hash value found for file '/usr/bin/elinks' in the 'rkhunter.dat' file.
Warning: No hash value found for file '/usr/bin/links' in the 'rkhunter.dat' file.

/var/log/rkhunter.log を確認すると、次のように出力された。

[20:50:10] Collecting O/S info...
[20:50:10] Info: Found system architecture: x86_64
[20:50:10] Info: Found release file: /etc/system-release
[20:50:10] Info: Found O/S name: CentOS release 6.6 (Final)
[20:50:10] Getting file properties...
[20:50:12] Warning: No hash value found for file '/usr/bin/elinks'
[20:50:12]          Hash command output: /usr/sbin/prelink: /usr/bin/elinks: at least one of file's dependencies has changed since prelinking
[20:50:12]          Try running the command 'prelink /usr/bin/elinks' to resolve dependency errors.
[20:50:13] Warning: No hash value found for file '/usr/bin/links'
[20:50:13]          Hash command output: /usr/sbin/prelink: /usr/bin/links: at least one of file's dependencies has changed since prelinking
[20:50:13]          Try running the command 'prelink /usr/bin/links' to resolve dependency errors.
[20:50:16] Info: Found 43 files in /bin
[20:50:16] Info: Found 62 files in /usr/bin
[20:50:16] Info: Found 15 files in /usr/sbin
[20:50:16] Info: Found 20 files in /sbin
[20:50:16] Info: Found 1 files in /etc
[20:50:16] Info: File updated: searched for 167 files, found 141, missing hashes 2
[20:50:16] Info: New rkhunter.dat file installed in '/var/lib/rkhunter/db'

ハッシュが合わないのが2つあるらしい。

「Try running the command」の指示に従って、elinks/links をprelinkの対象にしてみると、

# /usr/sbin/prelink -v /usr/bin/elinks
・
・省略
・
/usr/sbin/prelink: Could not prelink /usr/lib64/libnss_compat_ossl.so.0 because its dependency /usr/lib64/libnssdbm3.so could not be prelinked
/usr/sbin/prelink: Could not prelink /usr/bin/elinks because its dependency /usr/lib64/libnss_compat_ossl.so.0 could not be prelinked

# /usr/sbin/prelink -v /usr/bin/links
・
・省略
・
/usr/sbin/prelink: Could not prelink /usr/lib64/libnss_compat_ossl.so.0 because its dependency /usr/lib64/libnssdbm3.so could not be prelinked
/usr/sbin/prelink: Could not prelink /usr/bin/links because its dependency /usr/lib64/libnss_compat_ossl.so.0 could not be prelinked

となった。

ここで表示される
 ・/usr/lib64/libnss_compat_ossl.so.0(/usr/lib64/libnss_compat_ossl.so.0.0.0 へのシンボリックリンク
 ・/usr/lib64/libnssdbm3.so
はいずれも存在するファイルだった。

上記の2つのエラーが出いているため、rkhunter にも影響が出ていたようだ。


この症状が発生する前に、何か思い当たる事がないか考えたところ、前日にyum update をしたのだった。

ログを確認すると、以下が更新されていた。

Jan 16 19:44:47 Updated: nss-softokn-freebl-3.14.3-19.el6_6.x86_64
Jan 16 19:44:47 Updated: nss-softokn-3.14.3-19.el6_6.x86_64
Jan 16 19:44:47 Updated: kpartx-0.4.9-80.el6_6.2.x86_64

なお、以前のバージョンは「nss-softokn-freebl-3.14.3-18」で、これは問題が無かった。

これらのパッケージについて何か情報がないか、CentOS Bug Tracker を見てみた。
View Issues - CentOS Bug Tracker

「nss-softokn-freebl-3.14.3-19」では、ID=0008083 の案件があった。
バージョンが少し違う(nss-softokn-freebl-3.14.3-18)が、ID=0007922 の案件もあった。

ML/forumやRed HatのBugzillaも探すと「nss-softokn-freebl-3.14.3-19」のバグらしき情報が・・・

CentOS • View topic - WARNING: nss-softokn-3.14.3-19.el6_6 updates may be broken

[CentOS-announce] CEBA-2015:0048 CentOS 6 nss-softokn BugFix Update

Bug 1182337 – nss-softokn updates should require the same nss-softokn-freebl


これらが影響しているか分からないけれど、この件は修正されるまで保留。

関係ありそうなパッケージのバージョンを列挙しておく。

# uname -r
2.6.32-504.3.3.el6.x86_64

# rpm -qa | grep rkhunter
rkhunter-1.4.0-1.el6.rf.noarch

# rpm -qa | grep prelink
prelink-0.4.6-3.1.el6_4.x86_64

# rpm -qa | grep nss-softokn
nss-softokn-3.14.3-19.el6_6.x86_64
nss-softokn-freebl-3.14.3-19.el6_6.x86_64
nss-softokn-freebl-3.14.3-19.el6_6.i686

【2015/2/13 追記】

以下に続きを書きました。