RollerChris
R.I.P.
Trojanisches Pferd in Source-Code-Distribution von sendmail
In einigen Paketen des Source-Codes für den Message Transfer Agent (MTA) sendmail haben die Entwickler ein trojanisches Pferd entdeckt. Ein Angreifer soll sich um den 28. September herum Zugang zum ftp-Server ftp.sendmail.org verschafft und das trojanische Pferd in die Distribution eingefügt haben. Als die Entwickler das Problem entdeckten, schalteten sie am 6. Oktober den ftp-Server ab. Das Open-Source-Programm sendmail ist der meist verwendete MTA im Internet. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern.
Betroffen von dem jetzigen Angriff sind laut einem Adivsory des CERT/CC die Source-Code-Pakete sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz. Downloads per http seien nach bisherigen Erkenntnissen von dem Problem nicht berührt; allerdings wird Anwendern empfohlen, auch dann die Authentizität und Integrität des sendmail-Pakets zu überprüfen, wenn sie sich die Distribution per http besorgt haben. Die Abhilfe für alle Betroffenen besteht unter anderem darin, sich eine authentifizierte Version des sendmail-Pakets von sendmail.org zu besorgen. Die korrekten PGP-Signaturen und MD5-Checksummen sind auch im CERT/CC-Advisory aufgeführt.
Das trojanische Pferd, das in den betroffenen Paketen enthalten ist, stellt allerdings keine Gefahr für die Rechner dar, auf denen der MTA aktiv ist, sondern nur für die Systeme, auf denen das Programm aus dem Source-Code kompiliert wurde. Auf diesen Rechnern wird nach dem Kompilieren von sendmail ein Prozess aktiv, der über den TCP-Port 6667 eine Verbindung zu einem entfernten Server herstellt. Dies ermöglicht einem Angreifer, auf dem betroffenen Rechner eine Shell mit den Rechten des Users zu öffnen, der sendmail kompiliert hat. (jk/c't)
In einigen Paketen des Source-Codes für den Message Transfer Agent (MTA) sendmail haben die Entwickler ein trojanisches Pferd entdeckt. Ein Angreifer soll sich um den 28. September herum Zugang zum ftp-Server ftp.sendmail.org verschafft und das trojanische Pferd in die Distribution eingefügt haben. Als die Entwickler das Problem entdeckten, schalteten sie am 6. Oktober den ftp-Server ab. Das Open-Source-Programm sendmail ist der meist verwendete MTA im Internet. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern.
Betroffen von dem jetzigen Angriff sind laut einem Adivsory des CERT/CC die Source-Code-Pakete sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz. Downloads per http seien nach bisherigen Erkenntnissen von dem Problem nicht berührt; allerdings wird Anwendern empfohlen, auch dann die Authentizität und Integrität des sendmail-Pakets zu überprüfen, wenn sie sich die Distribution per http besorgt haben. Die Abhilfe für alle Betroffenen besteht unter anderem darin, sich eine authentifizierte Version des sendmail-Pakets von sendmail.org zu besorgen. Die korrekten PGP-Signaturen und MD5-Checksummen sind auch im CERT/CC-Advisory aufgeführt.
Das trojanische Pferd, das in den betroffenen Paketen enthalten ist, stellt allerdings keine Gefahr für die Rechner dar, auf denen der MTA aktiv ist, sondern nur für die Systeme, auf denen das Programm aus dem Source-Code kompiliert wurde. Auf diesen Rechnern wird nach dem Kompilieren von sendmail ein Prozess aktiv, der über den TCP-Port 6667 eine Verbindung zu einem entfernten Server herstellt. Dies ermöglicht einem Angreifer, auf dem betroffenen Rechner eine Shell mit den Rechten des Users zu öffnen, der sendmail kompiliert hat. (jk/c't)