Fairy
gehört zum Inventar
[Debian] Infrastruktur von Debian GNU/Linux erfolgreich angegriffen
Quelle: http://cert.uni-stuttgart.de/files/fw/debian-security-20031121.txt
Wichtige Teile der Debian-Infrastrukur wurden kompromittiert. Möglicherweise befinden sich manipulierte Debian-Pakete auf Mirrors.
Betroffene Systeme
* Systeme, die Debian GNU/Linux einsetzen.
Einfallstor
Manuelles oder automatisches Einspielen von Debian-Paketen (z.B. via apt-get zum Einspielen von Sicherheitsupdates).
Auswirkung
Falls erfolgreich manipulierte Debian-Pakete eingeschleust wurden, können Debian-Installationen, die manuell oder automatisch Pakete einspielen (z.B. mittels apt-get) ebenfalls kompromittiert werden.
Gefahrenpotential
sehr hoch (falls tatsächlich Pakete manipuliert wurden)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Zentrale Teile der Debian-Infrastruktur wurden erfolgreich angegriffen und am 2003-11-20 kompromittiert. (Die Debian-Infrastruktur besteht im wesentlichen aus einer Reihe von weltweit verteilten Maschinen unter einer einheitlichen Authentifizierungsinfrastruktur, auf die die rund tausend Debian-Entwickler Shell-Zugriff haben.) Zu den betroffenen Maschinen zählt auch security.debian.org, worüber die Debian-Sicherheitsupdates verbreitet werden.
Die Entdeckung der Kompromittierung fällt mit der Veröffentlichung von Debian GNU/Linux 3.0r2 zusammen. Eine Überprüfung ergab, daß die Pakete dieser Version jedoch nicht manipuliert wurden. Gleiches gilt für das reguläre Archiv (außer non-us und security.debian.org) -- hier geht man derzeit auch von keiner Kompromittierung aus.
An dieser Stelle sei auch darauf hingewiesen, daß die Verteilung von Debian-Paketen (insbesondere auch Sicherheitspatches) nicht kryptographisch gesichert wird bzw. die vorhandenen digitalen Signaturen nicht von typischen Debian-Installationen geprüft werden. Dadurch kann jeder Mirror-Betreiber im Prinzip modifizierte Pakete anbieten.
Gegenmaßnahmen
* Verzicht auf das Einspielen von Updates (insbesondere auch Sicherheitspatches), bis die Situation geklärt ist.
* Sperrung des Zugriffs auf Inhalte von Debian-Mirrors, um automatische Updates zu unterbinden.
Copyright © 2003 RUS-CERT, Universität Stuttgart
edit/ http://www.heise.de/newsticker/data/pab-28.11.03-000/ /end
greetz Fairy
Quelle: http://cert.uni-stuttgart.de/files/fw/debian-security-20031121.txt
Wichtige Teile der Debian-Infrastrukur wurden kompromittiert. Möglicherweise befinden sich manipulierte Debian-Pakete auf Mirrors.
Betroffene Systeme
* Systeme, die Debian GNU/Linux einsetzen.
Einfallstor
Manuelles oder automatisches Einspielen von Debian-Paketen (z.B. via apt-get zum Einspielen von Sicherheitsupdates).
Auswirkung
Falls erfolgreich manipulierte Debian-Pakete eingeschleust wurden, können Debian-Installationen, die manuell oder automatisch Pakete einspielen (z.B. mittels apt-get) ebenfalls kompromittiert werden.
Gefahrenpotential
sehr hoch (falls tatsächlich Pakete manipuliert wurden)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Zentrale Teile der Debian-Infrastruktur wurden erfolgreich angegriffen und am 2003-11-20 kompromittiert. (Die Debian-Infrastruktur besteht im wesentlichen aus einer Reihe von weltweit verteilten Maschinen unter einer einheitlichen Authentifizierungsinfrastruktur, auf die die rund tausend Debian-Entwickler Shell-Zugriff haben.) Zu den betroffenen Maschinen zählt auch security.debian.org, worüber die Debian-Sicherheitsupdates verbreitet werden.
Die Entdeckung der Kompromittierung fällt mit der Veröffentlichung von Debian GNU/Linux 3.0r2 zusammen. Eine Überprüfung ergab, daß die Pakete dieser Version jedoch nicht manipuliert wurden. Gleiches gilt für das reguläre Archiv (außer non-us und security.debian.org) -- hier geht man derzeit auch von keiner Kompromittierung aus.
An dieser Stelle sei auch darauf hingewiesen, daß die Verteilung von Debian-Paketen (insbesondere auch Sicherheitspatches) nicht kryptographisch gesichert wird bzw. die vorhandenen digitalen Signaturen nicht von typischen Debian-Installationen geprüft werden. Dadurch kann jeder Mirror-Betreiber im Prinzip modifizierte Pakete anbieten.
Gegenmaßnahmen
* Verzicht auf das Einspielen von Updates (insbesondere auch Sicherheitspatches), bis die Situation geklärt ist.
* Sperrung des Zugriffs auf Inhalte von Debian-Mirrors, um automatische Updates zu unterbinden.
Copyright © 2003 RUS-CERT, Universität Stuttgart
edit/ http://www.heise.de/newsticker/data/pab-28.11.03-000/ /end
greetz Fairy