In einem Posting auf der Mailing-Liste Full Disclosure wird behauptet, dass manipulierte Ruby-Pakete des Debian-Projektes eine SSH-Hintertür namens Apatch installieren. Demnach lade eine modifizierte Datei zur Deklaration von Ruby-Umgebungsvariablen ein Tar-Archiv aus dem Internet nach, das Apatch für mehrere SSH-Versionen enthalte. Die installierte Backdoor modifiziert den SSH-Server derart, dass ein zuvor festgelegtes Passwort den Zugang zu jedem beliebigen Account ermöglicht. Infizierte Systeme sollen sich an einer vorhandenen Datei /usr/lib/libdofas.so.5.4.9 erkennen lassen.
Die Gerüchte bestätigten sich nach Recherchen von heise Security bislang jedoch nicht. Die in dem Posting gemachten Angaben sind teils ungenau oder sogar falsch. Die angeblich manipulierte Datei /usr/lib/ruby/Env.rb befindet sich sowohl in aktuellen Debian-Stable- als auch in Debian-Testing-Installationen in einem von der Ruby-Version abhängigen Unterverzeichnis, beispielsweise in /usr/lib/ruby/1.8/Env.rb. Sie wird durch das Paket libruby1.6 beziehungsweise libruby1.8 bereitgestellt. Genauere Angaben darüber, aus welchem Repository das betroffene Paket stammte und welche Versionen es hatte, stehen bislang noch aus.
Weiterhin ist in deutschen Paket-Repositories sowohl von Debian als auch von Ubuntu die beschriebene Manipulation an den Paketen nicht nachvollziehbar. Nach Auskunft von Martin Schulze, Leiter des Debian-Security-Teams, sind zurzeit keine Probleme mit den Debian-Archiven bekannt. Nachträgliche Manipulation an den Paketen sollten zumindest Nutzern von Debian-Unstable sofort durch unübersehbare Fehlermeldungen der Paketverwaltungssoftware APT auffallen, da Signaturen nicht mehr verifiziert werden könnten, so Schulze. Von den geänderten Paketen dürfte mittlerweile auch keine Gefahr mehr ausgehen. Der Link zu dem nachgeladenen Apatch-Archiv führt nur noch ins Leere.
Siehe dazu auch:
* dikline.com suspected to be behind repository hacking, Posting auf Full Disclosure
Quelle und Links :
http://www.heise.de/security/news/meldung/70457
