Bekannte Sicherheitslücken bei einem voll gepatchten Woody-System?
Hallo,
auf Full-Disclosure gibt es zur Zeit eine interessante Diskussion, die
hier startet:
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025732.html
(Achtung! Leider ist der Thread etwas "zerstückelt", was wohl daran
liegt, dass einige Personen Mail-Programme nutzen, die kein In-Reply-To:
setzen können. Also ruhig noch etwas weiter suchen)
Was ist passiert?
Ein Benutzer hat ein vollständig gepatches Woody-System aufgesetzt und
zwei Nutzer-Accounts eingerichtet, admin und user. Beide Accounts hatten
identischen Username und Paßwort, und es waren keine Accounts mit
root-Rechten.
Der Hintergrund ist der, dass in letzter Zeit ssh-Scans nach eben diesen
Accounts durchgeführt wurden.
Der Benutzer zeigt sich überrascht, dass offenbar schon kurz nach dem
erfolgten Angriff das System gerootet war. Offenbar gibt es noch
Sicherheitslücken, die entweder noch nicht bekannt, oder aber zumindest
noch nicht gepatcht sind.
Kennt irgend jemand bekannte Sicherheitslücken, die hier ausgenutzt
worden sein könnten? Ich muss ehrlich zugeben, dass mich diese
Erkenntniss dort nicht gerade beruhigt.
Leider ist nicht angegeben, welchen Kernel er genau benutzt hat. Aber
die .bash_profile (offenbar), die benutzt wurde, findet sich hier:
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025779.html
(offenbar aber unvollständig)
Gruß,
Spiro.
--
Spiro R. Trikaliotis
http://www.trikaliotis.net/
http://www.viceteam.org/
Reply to: