Restauration d'un serveur Debian après intrusion

13 juillet 2006

Un serveur principal du projet Debian a été réinstallé suite à une intrusion et ses services ont été restaurés. Le 12 juillet, la machine gluck.debian.org a été compromise en utilisant une vulnérabilité locale du noyau Linux pour obtenir des privilèges plus élevés. L'intrus a obtenu un accès via le compte détourné d'un développeur.

Les services touchés et temporairement interrompus étaient : cvs, ddtp, lintian, people, popcon, planet, ports and release.

Détails

Il y a un moment, un ou plusieurs comptes de développeurs ont été détournés et utilisés par l'attaquant pour accéder au serveur Debian. Une vulnérabilité locale du noyau Linux récemment découverte a ensuite été utilisée pour obtenir les droits du superutilisateur sur la machine.

À 02 h 43 UTC le 12 juillet, les administrateurs Debian ont reçu des courriels suspects qui les ont alarmés. L'investigation qui a suivi a montré que le compte d'un développeur avait été détourné et qu'une vulnérabilité locale du noyau avait été utilisée pour obtenir un accès superutilisateur.

À 04 : 30 UTC le 12 juillet, la machine gluck a été mise hors ligne et redémarrée depuis une source sûre. Les autres serveurs Debian ont été verrouillés afin de les examiner et de savoir s'ils avaient fait l'objet d'intrusions. Ils seront mis à jour avec un noyau corrigé avant d'être à nouveau accessibles.

En raison du faible temps écoulé entre l'exploitation de la vulnérabilité du noyau et la mise au courant des administrateurs Debian, l'attaquant n'a pas eu le temps de causer beaucoup de dégâts. Le seul binaire manifestement compromis était /bin/ping.

Le compte détourné ne disposait d'accès à aucune des machines Debian à accès restreint. Ainsi, ni l'archive standard ni l'archive de sécurité n'ont de chance d'avoir été compromises.

Une investigation a révélé qu'un certain nombre de mots de passe de développeurs étaient faibles, ce qui a conduit au verrouillage de ces comptes.

L'état des machines est disponible en ligne.

Vulnérabilité du noyau

La vulnérabilité du noyau utilisée lors de cette intrusion a la référence CVE-2006-2451. Elle est présente uniquement dans les versions 2.6.13 à celles précédant la 2.6.17.4, et 2.6.16 avant la 2.6.16.24. Ce bogue permettait à un utilisateur local d'obtenir les droits du superutilisateur grâce au paramètre PR_SET_DUMPABLE de la fonction prctl, permettant de créer un programme causant l'écriture d'une image mémoire (« core dump ») dans un répertoire dans lequel l'utilisateur n'est pas censé pouvoir écrire.

L'actuelle distribution stable, Debian GNU/Linux 3.1 alias Sarge, utilise le noyau Linux 2.6.8 et n'est donc pas touchée par ce problème. Le serveur compromis utilisait un noyau Linux 2.6.16.18.

Si vous utilisez un noyau Linux de version 2.6.13 ou précédant la 2.6.17.4, ou une version 2.6.16 avant la 2.6.16.24, veuillez mettre à jour votre noyau immédiatement.

À propos de Debian

Debian GNU/Linux est un système d'exploitation libre, développé par près de mille bénévoles à travers le monde entier qui collaborent via Internet. L'engagement de Debian dans le logiciel libre, sa nature non lucrative, et son modèle de développement ouvert, en font un système remarquable dans l'univers des distributions GNU/Linux.

Les points forts du projet Debian sont ses bénévoles, sa fidélité à son contrat social, et son engagement à fournir le meilleur système d'exploitation possible.

Contacts

Pour plus d'informations, veuillez visiter les pages web Debian à http://www.debian.org/ ou envoyez un courriel à <press@debian.org>.