Kompromittálódott a Fedora Infrastructure és a Red Hat néhány szervere

Beküldte lberes - 2008, augusztus 22 - 14:05
Témák: 
Biztonság
RHEL 4
Fedora
Red Hat
RHEL 5

Paul W. Frields néhány perccel ezelőtt jelentette be, hogy a Fedora Infrastructure néhány komponense kompromittálódott. Mint korábban hírt adtunk róla, a múlt héten a Fedora Project vezetője közleményben kérte a felhasználókat, ne frissítsék rendszereiket.

Az illetéktelen behatolás egyik célpontja az a szerver volt, amelyen a Fedora által kibocsátott csomagok aláírását kezelik. A vizsgálatot végző csapat azt állapította meg, hogy az aláíráshoz szükséges passphrase nem került ki a rendszerből (mivel nem is volt azon tárolva) és a támadó nem tudott hamis aláírásokat gyártani. A helyzetre való tekintettel azonban Fedora csapat úgy döntött, hogy lecseréli a signature-t és egyúttal néhány fontos frissítést is végeztek a rendszereken.

A vizsgálat során semmilyen nyomát nem találták annak, hogy rosszindulatú kód vagy csomag került volna ki az érintett rendszerekből. A szakértők nem csak a bináris csomagokat, hanem a forrásokat is átvizsgálták, szerencsére eredménytelenül.

A fenti történésekkel párhuzamosan a Red Hat rendszereiben is betörés nyomait észlelték. A támadó néhány Red Hat Enterprise Linux 4 (i386 és x86_64 architektúra) és Red Hat Enterprise Linux 5 (x86_64) alá tartozó openssh csomagot alá tudott írni. A csomagok listáját az alábbi scripttel ellenőrizhetjük:

https://www.redhat.com/security/data/openssh-blacklist-1.0.sh

Az érintett csomagok a hagyományos csatornákon (RHN, közvetlen letöltés) keresztül nem juthattak el a Red Hat előfizetőkhöz; a felhívás elsősorban azoknak szól, akik nem hivatalos úton szerezték be a frissítéseket.

További részletek itt és itt

Hozzászólások

Beküldte Vladi - 2008, augusztus 22 - 18:11.

Nos ez nem vet túl jó fényt a kalaposokra. Mindenesetre dicséretes, hogy rendkívül gyorsan és hatékonyan hárították el a hibát. Kérdés, hogy elhárították e teljesen.
A CentOS-el mi a helyzet? Ott nagyon hallgatnak.
Persze nekik is külön aláírás rendszerük van.

Vajon összefüggésben van -e ez a dolog, a nemrég kiadott tanulmánnyal?

Beküldte lberes - 2008, augusztus 22 - 20:30.

Tény, hogy csúnya eset, ez nem vitás. A CentOS teljesen más infrastruktúrát használ, ők csak a forráscsomagokat buildelik újra, elvileg nem érinti őket a dolog. Más kérdés, hogy - elvileg - ha source RPM-ek kerülnek ki valós(nak tűnő) aláírással, akkor ők is pórul járhatnak.

Beküldte Vladi - 2008, szeptember 2 - 10:43.

Mi van most az üggyel? Nem nagyon jönnek a hírek. Viszont a frissítések sem.
Azt hittem nálam a gubanc, de a weekly newsban sem írnak biztonsági frissítéseket. :S

Beküldte lberes - 2008, szeptember 4 - 17:05.

Valóban nincsenek frissítések az eset óta. A fedorások dolgoznak, de egyelőre még semmilyen update-elt csomag nem jelent meg. Ami késik, nem múlik :)