Debian-palvelin palautettu murro jäljiltä

13. heinäkuuta 2006

Eräs Debianin pääpalvelimista on uudelleenasennettu tietomurron jäljiltä, ja palvelut toimivat jälleen. Heinäkuun 12. palvelin gluck.debian.org murrettiin käyttämällä paikallista pääkäyttäjä-haavoittuvuutta Linux-ytimessä. Tunkeutuja pääsi palvelimelle käyttämällä erään kehittäjän murrettua tunnusta.

Kärsineet ja väliaikaisesti alhaalla olleet palvelut: cvs, ddtp, lintian, people, popcon, planet, siirrokset sekä release.

Yksityiskohdat

Vähintään yhden kehittäjän tunnus oli murrettu jokin aika sitten ja hyökkääjä käytti tätä tunnusta päästäkseen Debianin pavelimelle. Hiljattain löydettyä paikallista pääkäyttäjä-haavoittuvuutta Linux-ytimessä käytettiin saamaan pääkäyttäjän oikeudet palvelimeen.

Heinäkuun 12. kello 02.43 UTC-aikaa luettiin epäilyttäviä sähköposteja, jotka hälyttivät Debianin ylläpidon. Seurannut tutkimus osoitti, että erään kehittäjän tunnus oli murrettu ja paikallista ydinhaavoittuvuutta oli hyväksikäytetty saamaan pääkäyttäjän oikeudet.

Heinäkuun 12. kello 04.30 UTC-aikaa gluck otettiin pois linjoilta ja uudelleenkäynnistettiin luotetulta medialta. Muut Debianin palvelimet lukittiin myöhempää tutkimusta varten, jotta selvitetään onko nekin murrettu. Ne tullaan päivittämään korjattuun ytimeen ennen avaamista.

Johtuen lyhyestä aikavälistä ytimen hyväksikäytön ja Debian-ylläpitäjien havainnon välillä, hyökkääjällä ei ollut aikaa/haluja aiheuttaa paljoa vahinkoa. Ainoa selvästi väärennetty binääri oli /bin/ping.

Murretulla tunnuksella ei ollut pääsyä millekään rajoitetuille Debianin koneille. Siten sekä normaalilla että tietoturva-arkistolla ei ollut vaaraa tulla murretuksi.

Kehittäjien salasanojen tutkimus paljasti useita huonoja salasanoja, ja sellaiset tunnukset lukittiin tästä syystä.

Koneiden tila on täällä.

Ytimen haavoittuvuus

Tähän murtoon käytetty ytimen haavoittuvuus on CVE-2006-2451. Se esiintyy vai Linux-ytimissä 2.6.13 versioihin ennen 2.6.17.4 sekä 2.6.16 ennen 2.6.16.24. Vika mahdollistaa paikallisen käyttäjän pääsyn pääkäyttäjän oikeuksiin käyttämällä prctl-funktion PR_SET_DUMPABLE-argumenttia yhdessä ohjelman kanssa, joka tekee muistivedostiedoston luonnin hakemistoon, johon käyttäjällä ei ole oikeuksia.

Nykyinen vakaa julkaisu, Debian GNU/Linux 3.1 alias "sarge", sisältää Linux-version 2.6.8 eikä se siten ole alttiina tälle ongelmalle. Murretussa palvelimessa oli käytössä Linux-versio 2.6.16.18.

Mikäli käytät Linux-versiota 2.6.13 versioon 2.6.17.4 asti tai Linux-versiota 2.6.16 versioon ennen 2.6.16.24, kannattaa ydin päivittää välittömästi.

Tietoja Debianista

Debian GNU/Linux on vapaa käyttöjärjestelmä, jota kehittää yli tuhat vapaaehtoista ympäri maailman. He tekevät yhteistyötä Internetin kautta. Debianin sitoutuminen Vapaisiin ohjelmistoihin, voittoa tavoittelematon luonne ja avoin kehitysmalli tekevät siitä ainutlaatuisen GNU/Linux-jakelun.

Debian-projektin avainvahvuudet ovat sen vapaaehtoispohja, omistautuminen Debianin yhteisösopimukseen ja sitoutuminen tarjoamaan parhaan mahdollisen käyttöjärjestelmän.

Yhteystiedot

Tarkempia tietoja löydät Debianin www-sivustolta osoitteesta https://www.debian.org/ tai lähettämällä sähköpostia (englanniksi) osoitteeseen <press@debian.org>.