Debian-Server nach Einbruch wieder hergestellt
------------------------------------------------------------------------
Das Debian-Projekt http://www.debian.org/
Debian-Server nach Einbruch wieder hergestellt debian-admin@debian.org
13. Juli 2006 http://www.debian.org/News/2005/20060713
------------------------------------------------------------------------
Debian-Server nach Einbruch wieder hergestellt
Ein zentraler Debian-Server wurde nach einer Kompromittierung neu
installiert und die Dienste wieder hergestellt. Am 12. Juli wurde der
Rechner gluck.debian.org unter Verwendung einer lokalen Verwundbarkeit
im Linux-Kernel kompromittiert. Der Einbrecher hatte durch ein
kompromittiertes Entwickler-Konto Zugriff auf den Server erlangt.
Die betroffenen und vorübergehend nicht verfügbaren Dienste sind: cvs,
ddtp, lintian, people, popcon, planet, ports, release.
Details
-------
Zumindest ein Entwickler-Konto wurde vor einiger Zeit kompromittiert
und von einem Angreifer dazu verwendet, um Zugriff auf den Debian-Server
zu erlangen. Eine kürzlich entdeckte lokale Root-Verwundbarkeit im
Linux-Kernel wurde dann ausgenutzt, um Root-Zugriff auf dem Rechner zu
erlangen.
Um 02:43 UTC am 12. Juli gingen verdächtige E-Mails ein und haben die
Debian-Admins alarmiert. Die folgenden Untersuchungen haben ergeben,
dass ein Entwickler-Konto kompromittiert wurde und dass eine lokale
Kernel-Verwundbarkeit ausgenutzt wurde, um Root-Berechtigungen zu
erlangen.
Um 04:30 UTC am 12. Juli wurde gluck vom Netz genommen und von
vertrauenswürdigen Medien gebootet. Andere Debian-Server wurden für
weitere Untersuchungen, ob sie ebenfalls kompromittiert wurden,
gesperrt. Sie werden auf einen reparierten kernel aktualisiert, bevor
sie wieder entsperrt werden.
Wegen des kurzen Fensters zwischen des Ausnutzens der Kernel-Schwäche
und der Entdeckung durch die Debian-Admins hatte der Angreifer nicht
die Zeit/Lust, viel Schaden anzurichten. Das einzig offensichtlich
kompromittierte Programm war /bin/ping.
Das kompromittierte Konto hatte keinen Zugriff auf die eingeschränkten
Debian-Rechner. Daher gab es weder für das reguläre als auch für das
Sicherheits-Archiv eine Möglichkeit, kompromittiert zu werden.
Eine Untersuchung der Entwickler-Passwörter enthüllte eine Anzahl von
schwachen Passwörtern, deren Konten daraufhin gesperrt wurden.
Die Stati der Maschinen sind hier zu finden:
<http://db.debian.org/machines.cgi>
Kernel-Verwundbarkeit
---------------------
Die Kernel-Verwundbarkeit, die für diesen Einbruch ausgenutzt wurde,
wird als CVE-2006-2451 bezeichnet. Sie ist nur im Linux-Kernel 2.6.13
bis zu Versionen vor 2.6.17.4 und 2.6.16 vor 1.6.16.24 vorhanden. Der
Fehler erlaubt es einem lokalen Benutzer, Root-Berechtigungen über das
PR_SET_DUMPABLE-Argument der prctl-Funktion und einer dadurch in einem
Verzeichnis erstellten core-Dump-Datei, auf das der Benutzer keine
Berechtigungen hat, zu erangen.
Das aktuelle stabile Release, Debian GNU/Linux 3.1 alias »sarge«,
enthält Linux 2.6.8 und ist daher von diesem Problem nicht betroffen.
Die kompromittierten Rechner verwendeten Linux 2.6.16.18.
Falls Sie Linux 2.6.13 bis zu einer Version vor 2.6.17.4 verwenden, oder
Linux 2.6.16 bis zu einer Version vor 2.6.16.24 verwenden, aktualisieren
Sie ihren Rechner bitte unverzüglich.
Über Debian
-----------
Debian GNU/Linux ist ein Freies Betriebssystem, das von mehr als tausend
Freiwilligen aus der ganzen Welt erstellt wird, die über das Internet
zusammenarbeiten. Debians Hingabe für Freie Software, seine gemeinnützige
Natur und sein offenes Entwicklungsmodell macht es einzigartig unter den
GNU/Linux-Distributionen.
Die Kernstärken des Debian-Projekts sind seine Basis aus Freiwilligen,
seine Hingabe für Debians Gesellschaftsvertrag und sein Einsatz, das
best mögliche Betriebssystem zu bieten.
Reply to: