Thema: Einbruch bei Kernel.org / Linux.com

[SiLæncer]

Ein unbekannter Angreifer hat sich Root-Rechte auf einigen der wichtigsten Server von Kernel.org verschaffen können – der Haupt-Distributions-Seite für den Linux-Kernel und einige Linux-nahe Software. Wie der News-Abschnitt auf der Webseite erläutert, haben die Administratoren den Einbruch am 28. August erkannt.

Der Server war bereits Mitte des Monats durch ungewöhnliches Verhalten aufgefallen; nach einem Neustart und einem Kernel-Update zeigten sich dann Kernel Panics, die schließlich zur Entdeckung des Einbruchs geführt haben. Nach derzeitigem Untersuchungsstand verschaffte sich der Einbrecher über einen kompromittierten User-Account Zugang. Vermutlich hat er sich anschließend über Sicherheitslücken zu Root-Rechten hochgearbeitet – genaueres ist aber bislang nicht bekannt.

Die Administratoren nehmen an, dass die Quellcode-Depots nicht verändert worden; dies werde derzeit aber geprüft. Die Erklärung zum Einbruch betont ferner, der potenzielle Schaden durch einen Einbruch sei bei Kernel.org viel geringer als bei anderen Hostern von Quellcode-Depots. Dies wird mit dem Einsatz von Git für die Kernel-Entwicklung begründet, das für jede Quellcodedatei einen SHA1-Hash habe; einmal veröffentlicht sei es nicht möglich, Dateien zu verändern, ohne dass es bemerkt werde. LWN.net-Chef und Kernel-Hacker Jonathan Corbet erläutert dies in einem Blog-Post bei der Linux-Foundation genauer. Git-Hauptentwickler Junio C Hamano beschreibt in seinem Blog noch ausführlicher, welche Möglichkeiten ein Angreifer hat, ein Git-Depot zu modifizieren.

Wer den Linux-Quellcode mit Git bezieht, könne daher ziemlich sicher sein, keine Version zu erhalten, in die Schadcode eingepflanzt wurde. Das Statement auf Kernel.org macht aber keine konkreten Angaben zur Unversehrtheit der Patches und Tar-Archive mit den Kernel-Quellen, die auf der Frontpage von Kernel.org verlinkt sind. Deren Integrität lässt sich zwar über PGP-Signaturen prüfen – laut der zugehörigen Beschreibung werden diese allerdings auf einem der Kernel.org-Server erzeugt. Ob der Einbrecher alles Nötige im Zugriff hatte, um ein modifiziertes Archiv selbst zu signieren, ist daher derzeit unklar.

Quelle : www.heise.de

[SiLæncer]

Nach dem Einbruch auf kernel.org in der letzten Woche dauern die Wiederherstellungsarbeiten der Entwickler an. Linux-Erfinder Linus Torvalds hat den Quellcode des aktuellen Entwicklungskernels 3.1 nun auf seinen Github-Account kopiert.

Solange master.kernel.org, das bisherige Git-Repositorium und Heim der Kernel-Entwicklung, nach dem Einbruch noch unerreichbar ist, können die Entwickler ihre Arbeit am Kernel auf Github fortsetzen. Dort hat Torvalds inzwischen das komplette Kernel-Repositorium hochgeladen. Auf Github gehostete Projekte werden mittels des Versionsverwaltungssystems Git verwaltet, das Torvalds 2005 vorstellte und auch auf kernel.org eingesetzt wird. Git ermöglicht verteilte Entwicklung, die es verschiedenen Entwicklern eines Projekts erlaubt, ihre Änderungen in eigenen Repositorien einzupflegen.

In seiner Ankündigung des Kernel-Github-Accounts rät Torvalds Anwendern, die einen neuen Kernel herunterladen wollen, sich zu versichern, dass sie keine kompromittierte Quelle anzapfen. Er empfiehlt zudem, einen bereits existierenden Git-Baum zu aktualisieren, statt alle Quellen neu herunterzuladen.

Quelle : www.pro-linux.de

[SiLæncer]

Unter linux.com, linuxfoundation.org und den jeweiligen Subdomains bekommt man derzeit nicht die Webseiten der Linux Foundation zu sehen, sondern lediglich einen Sicherheitshinweis: Am 8. September habe man einen Einbruch entdeckt und deshalb die Server vorübergehend vom Netz genommen. Wer bei einer der abgeschalteten Webseiten ein Benutzerkonto unterhält, bekam zudem eine Warnmail – alle verwendeten Passwörter und SSH-Schlüssel könnten kompromittiert sein und sollten nicht weiter verwendet werden.

Die Linux Foundation stellt einen Zusammenhang zwischen der jetzt entdeckten Attacke und dem Einbruch bei Kernel.org her. Dort war am 28. August aufgefallen, dass sich ein Hacker offenbar Root-Rechte auf dem Server erschleichen konnte.

Quelle : www.heise.de

[SiLæncer]

Wie die Verantwortlichen für die Infrastruktur von kernel.org am Wochenende bekannt gaben, könnten bereits diese Woche erste Dienste der Seite online gehen. Die Administratoren arbeiten laut eigener Aussage bereits an der Freischaltung der ersten Entwickler-Werkzeuge.

Die Wiederherstellung von kernel.org läuft auf Hochtouren. Nachdem die Seite bereits seit etlichen Wochen nicht erreichbar ist, teilte H. Peter Anvin in einem Status-Update das weitere Vorgehen mit. Demnach arbeiten die Entwickler im Moment an einer komplett neuen Infrastruktur, die nicht nur sicherer sein soll, sondern auch künftige Einbrüche erschweren soll.

So soll es beispielsweise in Zukunft keinen direkten Zugriff mehr per SSH auf die Git-Repositories mit den Quelltexten der verschiedenen Kernel-Zweige geben. Statt dessen wollen die Administratoren auf Gitolite setzen, das allerdings neben einer feineren Zugriffskontrolle auch diverse Einschränkungen für die Entwickler mit sich bringen wird. Unter anderem schreibt Anvin, dass die Skripting-Möglichkeiten eingeschränkt werden. Als Authentifizierungsmethode werden künftig validierte Keys eingesetzt. Aktive Entwickler sollen bereits in Kürze ihre Schlüssel erhalten. Interessenten, die nicht automatisch einen neuen Schlüssel erhalten haben, müssen bei Anvin einen beantragen.

Bereits diese Woche sollen etliche Dienste des Kernels wieder in Betrieb gehen. Geplant sind unter anderem ein Kernel-Repositorium und diverse wichtige Entwicklerzweige des Kernels. Die weitere Wiederherstellung der Seite werde allerdings noch eine Weile in Anspruch nehmen. Daher sollen weitere Dienste erst zu einem späteren Zeitpunkt sukzessive freigeschaltet werden. Wann beispielsweise das komplette Archiv aller freigegebenen Versionen wieder online gehen wird, gab Anvin nicht bekannt.

Quelle : www.pro-linux.de

[SiLæncer]

Die Webserver von Kernel.org halten nun wieder die Git-Depots einiger Linux-Entwicklern vor – darunter auch das Depot mit dem von Torvalds gepflegten Hauptentwicklungszweig von Linux. Die auf der Frontpage verzeichneten Download-Links zu den Archiven mit den Quellen des Linux-Kernels führen derzeit aber noch ins Leere. Damit ist Kernel.org nach vier Wochen Auszeit nun teilweise wieder in Betrieb; die Administratoren hatten die Server vor zirka vier Wochen für Wartungsarbeiten vom Netz genommen, nachdem Ende August bekannt geworden war, dass ein Angreifer Zugang zu einigen der Rechner erlangt hatte.

Einige Kernel.org-Dienste sind aber noch nicht wieder verfügbar und sollen erst in den kommenden Wochen folgen; die Wikis einiger Subsysteme etwa sind ebensowenig erreichbar wie das Fehler-Tracking-System bugzilla.kernel.org. Auch die in der Nacht von Montag auf Dienstag freigegebenen Kernel 3.0.5 und 3.0.6 sind auf der Frontpage von Kernel.org noch nicht verzeichnet, wohl aber über Git erhältlich. Bei manchen Anwendern dürfte die Domain zudem erst erreichbar sein, wenn sich die Änderungen am DNS herumgesprochen haben, was noch einige Stunden dauern kann.

Laut einem kurzen Statement im News-Abschnitt der Kernel.org-Frontpage haben die Administratoren einige Änderungen am Aufbau der Server vorgenommen, um die Seite für Entwickler und Anwender zu verbessern. Wie schon zuvor bekannt geworden war, haben Entwickler jetzt keinen Shell-Zugriff mehr auf die Git-Depots. Die Kernel-Entwickler sollen sich zudem PGP/GPG-Schlüssel zum Zugriff auf Kernel.org anlegen und diese von anderen Entwicklern signieren lassen, um ein "Web of Trust" aufzubauen; zudem wird den Entwickler geraten sicherzustellen, dass sich keine Angreifer auf ihren Systemen herumtreiben. Die Kernel.org-Admins stellen auch einen Bericht in Aussicht, der Details zum Einbruch liefern soll.

Die etwas verlangsamte Kernel-Entwicklung sollte sich damit nun nach und nach wieder normalisieren; Torvalds und einige andere Entwickler waren zwischenzeitlich auf Orte wie Github ausgewichen, um ihre Git-Depots mit Linux und Linux-naher Software zu publizieren. Damit wird immer wahrscheinlicher, dass Torvalds den Linux-Kernel 3.1 in ein bis zwei Wochen freigibt, wie er es im Umfeld der Freigabe des Rc7 bereits angedeutet hatte.

Quelle : www.heise.de