Debian-Server nach Einbruch wieder hergestellt

13. Juli 2006

Ein zentraler Debian-Server wurde nach einer Kompromittierung neu installiert und die Dienste wieder hergestellt. Am 12. Juli wurde der Rechner gluck.debian.org unter Verwendung einer lokalen Verwundbarkeit im Linux-Kernel kompromittiert. Der Einbrecher hatte durch ein kompromittiertes Entwickler-Konto Zugriff auf den Server erlangt.

Die betroffenen und vorübergehend nicht verfügbaren Dienste sind: cvs, ddtp, lintian, people, popcon, planet, ports und release.

Details

Zumindest ein Entwickler-Konto wurde vor einiger Zeit kompromittiert und von einem Angreifer dazu verwendet, um Zugriff auf den Debian-Server zu erlangen. Eine kürzlich entdeckte lokale Root-Verwundbarkeit im Linux-Kernel wurde dann ausgenutzt, um Root-Zugriff auf dem Rechner zu erlangen.

Um 02:43 UTC am 12. Juli gingen verdächtige E-Mails ein und haben die Debian-Admins alarmiert. Die folgenden Untersuchungen haben ergeben, dass ein Entwickler-Konto kompromittiert wurde und dass eine lokale Kernel-Verwundbarkeit ausgenutzt worden war, um Root-Berechtigungen zu erlangen.

Um 04:30 UTC am 12. Juli wurde Gluck vom Netz genommen und von vertrauenswürdigen Medien gebootet. Andere Debian-Server wurden für weitere Untersuchungen, ob sie ebenfalls kompromittiert wurden, gesperrt. Sie werden auf einen reparierten Kernel aktualisiert, bevor sie wieder entsperrt werden.

Wegen des kurzen Zeitfensters zwischen dem Ausnutzen der Kernel-Schwäche und der Entdeckung durch die Debian-Admins hatte der Angreifer nicht die Zeit/Lust, viel Schaden anzurichten. Das einzig offensichtlich kompromittierte Programm war /bin/ping.

Das kompromittierte Konto hatte keinen Zugriff auf die eingeschränkten Debian-Rechner. Daher gab es weder für das reguläre noch für das Sicherheits-Archiv eine Möglichkeit, kompromittiert zu werden.

Eine Untersuchung der Entwickler-Passwörter enthüllte eine Anzahl von schwachen Passwörtern, deren Konten daraufhin gesperrt wurden.

Die Statusangaben zu den Maschinen sind hier zu finden.

Kernel-Verwundbarkeit

Die Kernel-Verwundbarkeit, die für diesen Einbruch ausgenutzt wurde, wird als CVE-2006-2451 bezeichnet. Sie ist nur im Linux-Kernel 2.6.13 bis zu Versionen vor 2.6.17.4 und 2.6.16 vor 2.6.16.24 vorhanden. Der Fehler erlaubt es einem lokalen Benutzer, Root-Berechtigungen über das PR_SET_DUMPABLE-Argument der prctl-Funktion und einer dadurch in einem Verzeichnis erstellten core-Dump-Datei, auf das der Benutzer keine Berechtigungen hat, zu erlangen.

Das aktuelle stabile Release, Debian GNU/Linux 3.1 alias Sarge, enthält Linux 2.6.8 und ist daher von diesem Problem nicht betroffen. Die kompromittierten Rechner verwendeten Linux 2.6.16.18.

Falls Sie Linux 2.6.13 bis zu einer Version vor 2.6.17.4 verwenden oder Linux 2.6.16 bis zu einer Version vor 2.6.16.24 verwenden, aktualisieren Sie Ihren Rechner bitte unverzüglich.

Über Debian

Debian GNU/Linux ist ein Freies Betriebssystem, das von mehr als tausend Freiwilligen aus der ganzen Welt erstellt wird, die über das Internet zusammenarbeiten. Debians Hingabe für Freie Software, seine gemeinnützige Natur und sein offenes Entwicklungsmodell machen es einzigartig unter den GNU/Linux-Distributionen.

Die Kernstärken des Debian-Projekts sind seine Basis aus Freiwilligen, seine Hingabe für Debians Gesellschaftsvertrag und sein Einsatz, das bestmögliche Betriebssystem zu bieten.

Kontaktinformationen

Zu weiteren Informationen besuchen Sie bitte die Debian-Webseiten unter http://www.debian.org/ oder schicken Sie eine E-Mail an <press@debian.org>.