Bei dem Angriff auf den Server „Savannah”, der die Versionsverwaltung sowie Entwicklungsdienste der Free Software Foundation (FSF) hostet, wurde am Montag ein Einbruch entdeckt, der etwa um den 2 November herum geschehen ist.



Die Attacke ähnelt, laut der Aussendung der FSF, jenem auf das Debian Projekt. Wie auch dort wurde auf dem FSF-Server das root-kit „SuckIT” installiert. Obwohl die FSF und das Debian Projekt in vielen Punkten unterschiedliche Meinungen und Auffassungen haben, arbeiten diese nun zusammen, um den Angreifer zu finden.



Die FSF ist mittlerweile dabei, ein Ersatzsystem für Savanna aufzubauen, das aber wesentlich striktere Sicherheitsvorkehrungen bietet. Zeitintensiv ist vor allem die Überprüfung, ob die Sourcen durch den Angreifer modifiziert wurden, oder nicht.



Über den Angriff auf die Linux Distribution ist noch nicht so viel bekannt. Hier erfolgte der Einbruch auf den rsync-Server (dient dazu, Dateien über das Netzwerk abzugleichen) erst am zweiten Dezember. Laut einer Aussendung des Gentoo-Projekts war der Server zirka eine Stunde online, bevor man den Eingriff erkannte und den Server vom Netz nahm.



Nach ersten Untersuchungen dürften keine Sourcecodes verändert worden sein, der Name des Server wird aber noch zurückgehalten, da es sich um einen gesponserten Server handelt. Wie der Angreifer Zugriff auf den Server erhalten hat, wird noch untersucht.



Das rsync-Team hat mittlerweile eine Security-Meldung herausgebracht, dass der rsync-Server einen Heap-Overflow Fehler hat, der sich übers Netz ausnutzen lässt und zusammen mit einem Sicherheitsproblem im Linux-Kernel root-Zugriff ermöglicht.



Mehr zu dem Angriff auf die Debian-Server lesen sie auch im WCM 203, ab Montag im Handel.



Savannah Announcement

rsync.gentoo.org rotation server compromised

rsync 2.5.6 security advisory

Martin Leyrer

Tagged as: Eigene_Stories_+_News, WCM_Online-News | Author: Martin Leyrer
[Donnerstag, 20031204, 08:56 | permanent link | 0 Kommentar(e)