Ripristinato server Debian dopo la compromissione

13 Luglio 2006

Uno dei più importanti server Debian è stato reinstallato e i servizi ripristinati in seguito alla sua compromissione. Il 12 luglio gluck.debian.org è stato compromesso usando una vulnerabilità locale del kernel Linux. Un intruso ha potuto accedere al server usando l'account di uno degli sviluppatori.

I servizi colpiti e temporaneamente sospesi sono stati: cvs, ddtp, lintian, people, popcon, planet, ports and release.

Dettagli

Almeno un account di uno degli sviluppatori è stato compromesso ed è stato usato dall'aggressore per avere accesso al server Debian. Poi, usando una vulnerabilità locale recentemente scoperta nel kernel Linux, l'intruso ha potuto accedere come root alla macchina.

Alle 02:43 UTC del 12 luglio delle mail sospette sono state ricevute dagli amministratori Debian che si sono subito attivati. La successiva indagine ha evidenziato la compromissione dell'account di uno sviluppatore e l'accesso come root tramite una vulnerabilità locale.

Alle 04:30 UTC del 12 luglio gluck è stato staccato dalla rete e riavviato usando un supporto sicuro. Gli altri server Debian sono stati bloccati per verificare se erano stati compromessi, inoltre, prima del loro sblocco, verranno aggiornati con un nuovo kernel.

Data la brevità della finestra temporale fra l'exploit del kernel e la reazione degli amministratori Debian, l'intruso non ha avuto tempo e modo di causare molti danni. L'unico binario risultato evidentemente compromesso è stato /bin/ping.

L'account compromesso non ha effettuato accessi a nessun altro host con accesso limitato. Quindi l'archivio principale e l'archivio di sicurezza non possono essere stati compromessi.

Un'analisi sulle password degli sviluppatori ha rilevato un certo numero di password deboli, gli account con queste password sono stati bloccati.

Lo stato delle macchine.

Vulnerabilità del kernel

La vulnerabilità del kernel usata in questa compromissione è referenziata come CVE-2006-2451. È presente solo nei kernel Linux 2.6.13 nelle versioni fino alla 2.6.17.4 e nel kernel 2.6.16 fino alla 2.6.16.24. Il bug consente a un utente locale di ottenere i privilegi di root tramite il parametro PR_SET_DUMPABLE della funzione prctrl quando un programma causa la creazione del file core dump in una directory in cui l'utente non ha i permessi.

L'attuale release stabile, Debian GNU/Linux 3.1 “sarge”, usa il kernel Linux 2.6.8 e quindi non è afflitta da questo problema. Sul server compromesso era in uso Linux 2.6.16.18.

Se si usa Linux 2.6.13 con versione precedente la 2.6.17.4, oppure Linux 2.6.16 con versione precedente la 2.6.16.24 si raccomanda l'aggiornamento immediato del kernel.

Su Debian

Debian GNU/Linux è un sistema operativo libero, sviluppato da circa un migliaio di volontari di tutte le parti del mondo, che collaborano tramite Internet. La dedizione al software libero di Debian, la sua natura «non-profit» e il suo modello aperto di sviluppo la rendono unica tra le altre distribuzioni Linux.

I punti di forza del Progetto Debian sono la base di volontariato, la dedizione al Contratto Sociale Debian e la volontà di fornire il miglior sistema operativo possibile.

Come contattarci

Per maggiori informazioni si vedano le pagine web Debian su http://www.debian.org/ o si mandi un email a <press@debian.org>.