Debian-server genetableret efter kompromittering

13. juli 2006

En af Debians primære servere er blevet geninstalleret efter den blev kompromitteret, og serviceprogrammerne er genetableret. Den 12. juli blev værtsmaskinen kompromitteret ved hjælp af en lokal root-sårbarhed i Linux-kernen. Gerningsmanden havde adgang til serveren gennem en kompromitteret udviklerkonto.

De påvirkede services, der midlertidigt er taget ned, er: cvs, ddtp, lintian, people, popcon, planet, ports og release.

Detaljerede oplysninger

Mindst en udviklerkonto blev for nogen tid siden kompromitteret, og har været anvendt af en angriber til at få adgang til Debian-serveren. En nyligt opdaget lokal root-sårbarhed i Linux-kernen er derefter blevet anvendt til at få root-adgang til maskinen.

Klokken 02.43 UTC den 12. juli blev mistænkelige e-mails modtaget, hvilket alarmerede Debians administratorer. Den følgende efterforskning viste at en udviklerkonto var kompromitteret og at en lokal kernesårbarhed var udnyttet til at få root-adgang.

Klokken 04.30 UTC den 12. juli blev servern gluck taget offline og genstartet fra et betroet medie. Andre Debian-servere er blevet låst af for at kunne foretage yderligere efterforskning i hvorvidt de også er blevet kompromitteret. De vil blive opgraderet til en rettet kerne, før de bliver låst op igen.

På grund af den korte tid fra udnyttelsen af kernen til Debians administratorer lagde mærke til det, havde angriberen ikke tid/lyst til at forårsage særlig megen skade. Den eneste oplagt kompromitterede binære fil var /bin/ping.

Den kompromitterede konto havde ikke adgang til nogen af Debians maskiner hvortil der er begrænset adgang. Derfor er der ikke risiko for at det almindelige eller sikkerhedsarkivet er blevet kompromitteret.

En undersøgelse af udvikleradgangskoder afslørende et antal svage adgangskoder, hvis tilhørende konti som følge deraf er blevet låst.

Maskinestatussen er tilgængelig.

Kernesårbarhed

Kernesårbarheden, der blev anvendt ved komprimitteringen, er beskrevet i CVE-2006-2451. Den findes kun i Linux-kerne 2.6.13 op til versionerne før 2.6.17.4, og 2.6.16 før 2.6.16.24. Fejlen gør det muligt for lokale brugere at opnå root-rettigheder gennem PR_SET_DUMPABLE-argumentet i prctl-funktionen og et program der gør at en coredump-fil oprettes i en mappe, til hvilken brugeren ikke har adgangsrettigheder.

Den aktuelle stabile udgave, Debian GNU/Linux 3.1 alias 'sarge', indeholder Linux 2.6.8 og er dermed ikke påvirket af dette problem. Den kompromitterede server kørte Linux 2.6.16.18.

Hvis du kører Linux 2.6.13 op til versionerne før 2.6.17.4, eller Linux 2.6.16 op til versionerne før 2.6.16.24, bør du omgående opdatere din kerne.

Om Debian

Debian GNU/Linux er et frit styresystem, udviklet af mere end ettusinde frivillige fra hele verden, der samarbejder via Internet. Debians loyalitet over for fri software, dets almennyttige karaktér, og dets åbne udviklingsmodel gør det unikt blandt GNU/Linux-distributioner.

Debian-projektets stærkeste sider er fundamentet af frivillige, dets dedikation til Debians Sociale Kontrakt og engagementet i at tilbyde det bedst mulige styresystem.

Kontaktoplysninger

For flere oplysninger, besøg Debians websider på http://www.debian.org/ eller send en e-mail på engelsk til <press@debian.org>.