Debianserver återställd efter intrång

13 juli 2006

En central Debianserver har ominstallerats efter ett intrång och dess tjänster har återställts. Ett intrång skedde på servern gluck.debian.org den 12 juli genom att man använde en lokal rootsårbarhet i Linuxkärnan. Inträngaren hade tillgång till servern genom ett komprometterad utvecklarkonto.

De tjänster som påverkades och tillfälligt togs ner är: cvs, ddtp, lintian, people, popcon, planet, ports och release.

Detaljer

Minst ett utvecklarkonto komprometterades för ett tag sedan och har sedan utnyttjas av en angripare för att få tillgång till Debianservern. En nyligen upptäckt lokal rootsårbarhet i Linuxkärnan har sedan använts för att få rootåtkomst på maskinen.

Den 12 juli klockan 02:43 UTC togs misstänkta e-brev emot vilket fick Debians administratörer att fatta misstanke. Den följande efterforskningen visade att ett utvecklarkonto komprometterats och att en lokal kärnsårbarhet hade använts till att uppnå rootbehörighet.

Den 12 juli klockan 04:30 UTC stängdes gluck av och startades från betrodd media. Andra Debianservrar låstes för ytterligare efterforskningar om huruvida intrång även förekommit på dessa. De kommer att uppgraderas till en korrigerad kärna innan de låses upp.

På grund av det korta fönstret mellan att kärnan utnyttjades och att Debians administratörer uppmärksammade detta har inte angriparen haft tid/lust att orsaka så stor skada. Den enda tydligt komprometterade binären var /bin/ping.

Det utnyttjade kontot hade inte tillgång till några av de begränsade Debianservrarna, varför varken det inte fanns någon möjlighet att orsaka skada på varken det vanliga arkivet eller säkerhetsarkivet.

En undersökning av utvecklarlösenord visade flera svaga lösenord vars konton på grund av detta har låsts.

Maskinstatus finns här.

Sårbarhet i kärnan

Den sårbarhet i kärnan som användes för detta intrång har beteckningen CVE-2006-2451. Den förekommer endast i Linuxkärnan version 2.6.13 fram till version 2.6.17.4 samt i 2.6.16 före 2.6.16.24. Felet gör det möjligt för en lokal användare att uppnå rootprivilegier genom argumentet PR_SET_DUMPABLE i funktionen prctl och ett program som orsakar en minnesutskriftsfil att skapas i en katalog som användaren inte har behörighet att skriva i.

Den nuvarande stabila utgåvan, Debian GNU/Linux 3.1, kodnamn ”Sarge” innehåller Linux 2.6.8 och påverkas därför inte av detta problem. Servern intrånget utfördes på körde Linux 2.6.16.18.

Om du kör Linux 2.6.13 eller senare, före 2.6.17.4, eller Linux 2.6.16 eller senare, före 2.6.16.24 bör du uppgradera din kärna omedelbart.

Om Debian

Debian är ett fritt operativsystem som utvecklas av mer än tusen utvecklare från hela världen som samarbetar via Internet. Debians hängivenhet till fri programvara, dess ideella natur och dess öppna utvecklingsmodell gör den unik bland GNU/Linux-distributioner.

Debianprojektets huvudstyrkor är dess bas av frivilliga, dess hängivenhet till Debians sociala kontrakt och dess förpliktelse att tillhandahålla det bästa möjliga operativsystemet.

Kontaktinformation

För ytterligare information, besök Debians webbsidor på http://www.debian.org/ eller sänd e-post till <press@debian.org> (på engelska).