Thema: Einbruch in Debian-Entwicklungsserver

[spoke1]

Einer der zentralen Entwicklungsserver des Debian-Projekts wurde von Unbekannten geknackt. Laut einer Meldung auf der Entwickler-Mailingliste habe man den Einbruch in den Entwicklungsserver gluck am Mittwochmorgen bemerkt und den Rechner von Netz genommen. Dadurch sind Dienste beziehungsweise Repositorys wie cvs, ddtp, lintian, people, popcon, planet, ports und release ebenfalls nicht erreichbar. Darüberhinaus habe man den Zugriff auf andere Maschinen von Debian.org ebenfalls gesperrt.

Ob Code oder Daten verändert wurden, können die Entwickler offensichtlich noch nicht sagen; eine Antwort auf eine Nachfrage von heise online diesbezüglich steht noch aus. Derzeit untersuchen die Entwickler, wie der Server kompromittiert wurde. Gerüchteweise soll die aktuelle Lücke im Linux-Kernel ( 2.6.13 bis 2.6.17.4) dafür missbraucht worden sein, bei der ein eingeschränkter Nutzer über Core-Dumps an Root-Rechte gelangen kann. Ein Exploit dafür soll bereits kursieren. Bei der Vielzahl der Personen und Entwickler, die eingeschränkten Zugriff auf die Server haben, ist diese Theorie nicht ganz abwegig.

mehr: http://www.heise.de/newsticker/meldung/75412

[SiLæncer]

Was zuerst nur vermutet wurde, haben die Administratoren des gehackten Debian-Entwicklungsservers gluck nun bestätigt: Der Eindringling nutzte die sys_prctl-Lücke bei der Ausgabe von Core-Dumps, um an Root-Rechte zu gelangen. Um allerdings überhaupt Zugriff auf den System zu erhalten, wurde ein Entwickler-Konto mit eingeschränkten Rechten kompromittiert – wie genau, steht nicht fest. Wann der Einbruch stattfand, erklärt die Mittellung des Debian-Projektes ebenfalls nicht. Allerdings kam der Eindringling wohl nicht allzu lange Zeit in den Genuß der Root-Rechte, da die Administratoren am 12. Juli auf merkwürdige Mails aufmerksam wurden, die von bestimmten Cron-Jobs generiert wurden. Kurzerhand wurde der Rechner gesperrt und untersucht.

Die bislang einzig festgestellte Änderung auf dem System soll ein manipuliertes Ping-Binary gewesen sein. Der Zugriff auf Server, die etwa die Archive, Pakete und Mailinglisten verwalten, war von dort aus jedoch nicht möglich. Mittlerweile ist gluck wieder in Betrieb, diesmal ohne bekannte Lücke im Kernel und mit neuen Schlüsseln für GPG und SSH. Somit stehen auch wieder alle von ihm angebotenen Dienste zur Verfügung. Im Zuge der Untersuchungen nehmen die Administratoren auch gleich noch weitere Server unter die Lupe, um mögliche Einbrüche festzustellen und einen fehlerbereinigten Kernel zu installieren.

Warum die Administratoren den Kernel nicht schon früher aktualisierten, ist unklar. Immerhin standen die Updates schon am 6. Juli öffentlich zur Verfügung, dem Debian-Team intern aber sicherlich schon früher. Bemerkenswert ist, dass es Gerüchte gibt, die Lücke sei in "gewissen Kreisen" schon Ende 2005 bekannt gewesen. Allerdings gibt es keine Hinweise, dass sie damals auch schon aktiv ausgenutzt wurde. Nach Meinung des Kernel-Sicherheitsspezialisten Paul Starzetz gleiche der Fehler ohnehin eher einer Backdoor als einem echten Fehler aus Unachtsamkeit.

Siehe dazu auch:

    * Update on compromise of gluck.debian.org, lock down of other debian.org machines, Untersuchungsbericht des Debian-Teams

Quelle und Links : http://www.heise.de/newsticker/meldung/75468