Hallo Liste, gerade einen Sicherheitsreport von Debian bekommen! Debian security status Security report based on general data 2024.03.05 09:22 Unter "*** Vulnerabilities" CVE-2016-1238 (1) cpan/Archive-Tar/bin/ptar, (2)... <https://security-tracker.debian.org/tracker/CVE-2016-1238> - sa-compile, spamassassin, spamc, spamd Da passiert was! Jetzt muss ich das nur noch verstehen - bookworm "fixed" OK Bleibt noch die Frage: Welche Auswirkungen hatte das vorhanden sein dieser Dateien auf mein System und wie kann ich den Rechner auf Folgeschädigungen überprüfen? Und wenn ich weiter lese muss ich mir die Frage stellen ob ich Web- und Usermin noch weiter benutze!! ~# uname -aLinux TEC-AC2 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64 GNU/Linux
~# cat /etc/os-release PRETTY_NAME="Debian GNU/Linux 12 (bookworm)" NAME="Debian GNU/Linux" VERSION_ID="12" VERSION="12 (bookworm)" VERSION_CODENAME=bookworm ID=debian HOME_URL="https://www.debian.org/" SUPPORT_URL="https://www.debian.org/support" BUG_REPORT_URL="https://bugs.debian.org/" Hallo Liste, ich komme nicht mehr weiter und brauche Eure Hilfe! Ich richte seit der 08KW.24 einen Rechner mit Debian 12.5 für - unter anderen - Email ein. Email mit postfix, dovecot, fetchmail, sasl ... usw. läuft soweit. Alle Pakete auf diesem Rechner sind aktuell! Es sind noch die Pakete: tiger, clamav, logcheck, chkrootkit, tripwire, rkhunter ... installiert und eingerichtet! Zur weiteren Einrichtung ist auf diesen Rechner Web-, Usermin eingerichtet und unter Webmin habe ich das Modul wbmclamav-0.23.1.wbm.gz installiert um clamav unter der Weboberfläche Webmin zu steuern. Herkunft: https://wbmclamav.esaracco.fr/ https://github.com/esaracco/wbmclamav/blob/master/README.md Stable release - wbmclamav-0.23.1.wbm.gz Dieses Modul unter Webmin braucht aber noch wie in der README.md beschriebe weitere perl-module - unter anderen "Mail::SpamAssassin" Im Orginal habe ich die Perl-Module aus dem Repository von Debian installiert bis das Modul Clamav in Webmin lief. Soweit, so gut! Durch das suchen im Web (wie heißen die Packetnamen der Perl-Module in Debian usw. ?) bin ich wohl auf die Information gestoßen mal die Perlpakete über CPAN zu updaten! Habe dann als root ein: #cpan cpan[1]> upgrade ausgeführt und jede menge Fragen beantwortet. Danach, am Dienstag den 27.02.2024, habe ich über Webmin Clamav angewiesen einen Festplattencheck zu machen (Signaturen waren aktuell). Nach Stunden dann das erschreckende Ergebnis von Clamav: Doc.Exploit.CVE_2021_40444-9893036-0 /var/lib/amavis/virusmails/OLEVBMacro.pm Doc.Exploit.CVE_2021_40444-9893036-0 /var/lib/amavis/virusmails/OLEVBMacro.pm.001 Doc.Exploit.CVE_2021_40444-9893036-0 /root/.cpan/build/Mail-SpamAssassin-4.0.0-0/lib/Mail/SpamAssassin/Plugin/OLEVBMacro.pm Doc.Exploit.CVE_2021_40444-9893036-0 /root/.cpan/build/Mail-SpamAssassin-4.0.0-0/Mail-SpamAssassin-4.0.0.tar.gz Doc.Exploit.CVE_2021_40444-9893036-0 /root/.cpan/sources/authors/id/S/SI/SIDNEY/Mail-SpamAssassin-4.0.0.tar.gz In den Mailprotokollen kommt jetzt: rkhunter[]: Rootkit hunter check started (version 1.4.6) rkhunter[]: Scanning took 2 minutes and 50 seconds rkhunter[]: Please inspect this machine, because it may be infected. Dazu leider keine weiteren Informationen!!!!! Suche im Internet ergab nur Treffer, die Windows betrafen. Meldungen von z.B. Heise mit Virenmeldungen auf github. Betreffende Dateien habe ich manuell gelöscht und Mail::SpamAssassin von Debian installiert und es war wieder alles gut! Fundergebnis von Clamav/rkhunter läßt sich reproduzieren indem man cpan[1]> upgrade ausführt! Jetzt meine Fragen: Kann jemand diesen Fund durch ausführen von cpan[1]> upgrade bestätigen? Wenn dem immer noch so ist - kann jemand CPAN informieren? Ich habe das leider noch nie gemacht! Welche Auswirkungen hatte das vorhanden sein dieser Dateien auf mein System und wie kann ich den Rechner auf Folgeschädigungen überprüfen? Die Schaddateien sind ja schon durch das System gelaufen: /var/lib/amavis/virusmails/OLEVBMacro.pm Hoffe auf weiter Informationen -- MfG Andy Witte
Attachment:
OpenPGP_0xC845DD340D2E5AE4.asc
Description: OpenPGP public key
Attachment:
OpenPGP_signature.asc
Description: OpenPGP digital signature