Freie Software unter Beschuss [Update: 10:17]


 


 


Bei dem Angriff auf den Server „Savannah”, der die Versionsverwaltung sowie Entwicklungsdienste der Free Software Foundation (FSF) hostet, wurde am Montag ein Einbruch entdeckt, der etwa um den 2 November herum geschehen ist.



Die Attacke ähnelt, laut der Aussendung der FSF, jenem auf das Debian Projekt. Wie auch dort wurde auf dem FSF-Server das root-kit „SuckIT” installiert. Obwohl die FSF und das Debian Projekt in vielen Punkten unterschiedliche Meinungen und Auffassungen haben, arbeiten diese nun zusammen, um den Angreifer zu finden.



Die FSF ist mittlerweile dabei, ein Ersatzsystem für Savanna aufzubauen, das aber wesentlich striktere Sicherheitsvorkehrungen bietet. Zeitintensiv ist vor allem die Überprüfung, ob die Sourcen durch den Angreifer modifiziert wurden, oder nicht.



Über den Angriff auf die Linux Distribution ist noch nicht so viel bekannt. Hier erfolgte der Einbruch auf den rsync-Server (dient dazu, Dateien über das Netzwerk abzugleichen) erst am zweiten Dezember. Laut einer Aussendung des Gentoo-Projekts war der Server zirka eine Stunde online, bevor man den Eingriff erkannte und den Server vom Netz nahm.



Nach ersten Untersuchungen dürften keine Sourcecodes verändert worden sein, der Name des Server wird aber noch zurückgehalten, da es sich um einen gesponserten Server handelt. Wie der Angreifer Zugriff auf den Server erhalten hat, wird noch untersucht.



Das rsync-Team hat mittlerweile eine Security-Meldung herausgebracht, dass der rsync-Server einen Heap-Overflow Fehler hat, der sich übers Netz ausnutzen lässt und zusammen mit einem Sicherheitsproblem im Linux-Kernel root-Zugriff ermöglicht.



Mehr zu dem Angriff auf die Debian-Server lesen sie auch im WCM 203, ab Montag im Handel.



Savannah Announcement

rsync.gentoo.org rotation server compromised

rsync 2.5.6 security advisory

Martin Leyrer


Die Meldung finden Sie im Original unter http://www.wcm.at/story.php?id=5812

Tagged as: , | Author:
[Donnerstag, 20031204, 09:56 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, collection, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, it, IT, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, Lotus, lotus, lotus notes, Lotus Notes, LotusNotes, lotusnotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, nasa, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, Vim, vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist