Servidor de Debian restaurado tras compromiso de seguridad

13 de julio de 2006

Se ha reinstalado uno de los servidores principales de Debian después de un compromiso de seguridad, y se han restaurado los servicios. El 12 de julio, la seguridad de la máquina gluck.debian.org se vio comprometida debido a una vulnerabilidad local de root en el núcleo Linux. El intruso tuvo acceso al servidor mediante la cuenta comprometida de un desarrollador.

Los servicios afectados, que estuvieron desactivados temporalmente, son: cvs, ddtp, lintian, people, popcon, planet, ports y release.

Detalles

Al menos se vio comprometida la cuenta de un desarrollador, que es la que ha empleado el atacante para acceder al servidor Debian. Se ha aprovechado una vulnerabilidad local de root descubierta recientemente en el núcleo Linux para obtener acceso como root en la máquina.

A las 02:43 UTC del 12 de julio, se recibieron correos sospechosos y se avisó a los administradores de Debian. La consiguiente investigación reveló que se había comprometido la cuenta de un desarrollador y que se había sacado provecho de una vulnerabilidad local del núcleo para obtener acceso como root.

A las 04:30 UTC del 12 de julio, se desconectó gluck y se arrancó con un medio fiable. Los demás servidores de Debian se han bloqueado para seguir la investigación y para descubrir si también se han visto comprometidos. Antes de desbloquearlos, se actualizarán con núcleos corregidos.

Debido al poco tiempo transcurrido entre la vulnerabilidad del núcleo y la actuación de los administradores de Debian, el atacante no tuvo tiempo suficiente para provocar demasiado daño. El único binario comprometido fue /bin/ping.

La cuenta comprometida no tenía acceso a ninguna de las máquinas restringidas de Debian. Por tanto, ni el archivo habitual ni el de seguridad pudieron verse comprometidos.

Una posterior investigación de las contraseñas de los desarrolladores mostró que algunas eran débiles, cuyas cuentas se han bloqueado.

El estado de las máquinas se puede consultar aquí.

Vulnerabilidad del núcleo

La vulnerabilidad del núcleo que se ha utilizado para comprometer esta máquina está documentada en CVE-2006-2451. Sólo existe en las versiones del núcleo Linux de la 2.6.13 a la 2.6.17.4 y en la 2.6.16 hasta la 2.6.16.24. El error permitía que un usuario local obtuviese privilegios de root mediante el argumento PR_SET_DUMPABLE de la función prctl, y provocaba que un programa pudiese crear un archivo de volcado del núcleo (core dump) en un directorio en el que el usuario no tuviese permiso.

La versión estable actual, Debian GNU/Linux 3.1 alias «sarge», tiene Linux 2.6.8 y, por tanto, no se ve afectada por este problema. El servidor comprometido funcionaba con Linux 2.6.16.18.

Si tiene una versión de Linux comprendida entre la 2.6.13 y la 2.6.17.4, o Linux 2.6.16 anterior a 2.6.16.24, debería actualizar el núcleo inmediatamente.

Acerca de Debian

Debian GNU/Linux es un sistema operativo libre que desarrollan más de mil voluntarios de todos el mundo, que colaboran a través de Internet. La dedicación de Debian al software libre, su naturaleza sin ánimo de lucro y su modelo abierto de desarrollo la convierten en algo único entre las distribuciones de GNU/Linux.

La clave de la fortaleza del proyecto Debian reside en su base de voluntariado, en su dedicación al Contrato social de Debian y en su compromiso de proporcionar el mejor sistema operativo posible.

Información de contacto

Si quiere más información, puede visitar las páginas web de Debian en http://www.debian.org/ o enviar un correo a <press@debian.org>.