sendmail.8.12.6.tar.Z oder
h2gkwsXx
Das CERT Coordination Center (CERT/CC, www.cert.org) berichtet
ueber die erfolgreiche Trojanisierung von
"sendmail"-Sourcecode-Paketen.
Betroffen hiervon sind Personen oder Einrichtungen, die die Dateien
sendmail.8.12.6.tar.Z oder
sendmail.8.12.6.tar.gz
ab oder um den 28. September 2002 von
ftp.sendmail.org oder einer Mirror-Site
heruntergeladen oder von dort gespiegelt haben. Der FTP-Server
wurde vom Sendmail-Team am 06. Oktober gegen 22:54 PDT deaktiviert.
Pakete, die ueber HTTP vom Webserver des Sendmail-Teams
heruntergeladen wurden, sind laut CERT/CC nicht betroffen.
Die SENDMAIL-PAKETE auf dem FTP-SERVER der DFN-CERT GMBH sind NICHT
BETROFFEN! (ftp://ftp.cert.dfn.de/pub/tools/net/sendmail/)
Wird "sendmail" aus den kompromittierten Quellpaketen uebersetzt,
so wird waehrend des Uebersetzungsvorgangs ein weiterer Prozess im
Hintergrund gestartet, welcher einen Tunnel zu einem festen
Zielsystem ueber Port 6667/tcp aufbaut. Vom Zielsystem aus kann ein
Benutzer auf das betroffene System zugreifen und erhaelt damit die
Berechtigungen des Benutzers, der "sendmail" uebersetzt. Da der
Tunnel vom Opfersystem aus aufgebaut wird, koennten zusaetzliche
Sicherheitsmechanismen wie Paketfilter o.ae. ausgehebelt werden.
Die IP-Adresse des Zielsystems ist uns derzeit nicht bekannt.
Nach derzeitigem Stand ist die Backdoor nach einem Reboot des
betroffenen Systems verschwunden, wird aber bei erneuter
Uebersetzung des kompromittierten Source-Paketes erneut
installiert.
Allen Personen oder Einrichtungen, welche o.g. Dateien auf ihrem
System haben, wird dringend nahegelegt, die Authentizitaet der
Pakete zu ueberpruefen. Zu diesem Zweck kommen MD5-Hashsummen und
PGP zum Einsatz.
1 Ueberpruefung der MD5-Hashes der betroffenen Dateien
Mittels Programm "md5" bzw. "md5sum" koennen die Hash-Werte der
betroffenen Dateien ermittelt und angezeigt werden.
Nicht-trojanisierte Dateien haben folgende MD5-Hash-Summen:
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz
cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z
8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig
2. Verifizierung der PGP-Signatur
Die Sendmail Source Distribution ist mit folgendem PGP-Key
signiert:
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002
Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45
Die Ueberpruefung der Signatur eines trojanisierten Source-Paketes
schlaegt fehl.
Aus dem gegebenen Anlass weisen wir erneut darauf hin, dass die
Authentizitaet von Source-Code-Paketen oder Programmen immer
ueberprueft werden sollte, bevor sie uebersetzt oder erstmalig
gestartet werden.
Ferner sollte Source-Code nach Moeglichkeit immer unter einer
unprivilegierten Benutzerkennung uebersetzt werden.
Quelle: DFN-Cert GmbH
sendmail.8.12.6.tar.Z oder'...
von
"sendmail"-Sourcecode-Paketen.
sendmail.8.12.6.tar.Z oder
Betroffen Dateien