Сервер Debian восстановлен после взлома

13 Июля 2006

Один из основных серверов Debian был переустановлен после взлома, и на нём были восстановлены сервисы. 12-го июля сервер gluck.debian.org был взломан. Была использована локальная уязвимость в ядре Linux для получения прав суперпользователя. Вторгнувшийся получил доступ к серверу, воспользовавшись скомпрометированной учётной записью разработчика.

Затронутые и временно недоступные сервисы: cvs, ddtp, lintian, people, popcon, planet, ports и release.

Подробности

Некоторое время назад как минимум одна из учётных записей разработчиков была скомпрометирована и была использована атакующим для получения доступа к серверу Debian. Затем была использована недавно обнаруженная в ядре Linux уязвимость для получения на машине прав суперпользователя.

12-го июля в 02:43 UTC администраторы Debian получили подозрительные письма и подняли тревогу. Последующее расследование показало, что была скомпрометирована учётная запись разработчика, и что через эксплуатацию локальной уязвимости ядра получены права суперпользователя.

12-го июля в 04:30 UTC gluck был выведен из сети и загружен с доверенного носителя. Другие сервера Debian были заблокированы для дальнейшего расследования, были ли они также взломаны. Перед тем, как они были разблокированы, они были обновлены до версии ядра без уязвимости.

Так как период между вторжением и уведомлением администраторов Debian был слишком мал, атакующий не имел времени/склонности причинить большой ущерб. Изменённым исполняемым файлом оказался один лишь тривиальный /bin/ping.

Скомпрометированная учётная запись не имела доступа к какому-либо внутреннему серверу Debian. Поэтому не было шанса изменить ни обычный архив, ни архив безопасности.

Исследование паролей разработчиков выявило несколько слабых паролей, в связи с чем их учётные записи были заблокированы.

Статус машин расположен здесь.

Уязвимость ядра

Уязвимость ядра, использованная для взлома, упоминается как CVE-2006-2451. Она существует только в ядре Linux версий 2.6.13 до 2.6.17.4, и версий 2.6.16 до 2.6.16.24. Ошибка позволяет локальному пользователю получить привилегии суперпользователя через параметр PR_SET_DUMPABLE функции prctl, что вызывает создание дампа программы в директории, для которой пользователь не имеет прав записи.

Текущий стабильный выпуск Debian GNU/Linux 3.1, иначе 'sarge', содержит ядро Linux 2.6.8 и поэтому не подвержен этой проблеме. На взломанном сервере работало ядро Linux 2.6.16.18.

Если вы используете ядро Linux версий 2.6.13 до 2.6.17.4, или ядро Linux версий 2.6.16 до 2.6.16.24, обновите своё ядро немедленно.

О Debian

Debian GNU/Linux — это свободная операционная система, разрабатываемая более чем тысячей добровольцев со всего мира, которые взаимодействуют посредством сети интернет. Приверженность Debian принципам Свободного ПО, его некоммерческая природа и открытая модель разработки делают его уникальным среди дистрибутивов GNU/Linux.

Сильными сторонами проекта Debian являются его база добровольцев, приверженность Общественному Договору Debian и его обязательства предоставить настолько хорошую операционную систему, насколько это возможно.

Как с нами связаться

Более подробную информацию вы можете найти на сайте Debian http://www.debian.org/ или отправив письмо по адресу <press@debian.org>.