Debian-palvelin palautettu murro jäljiltä
13. heinäkuuta 2006
Eräs Debianin pääpalvelimista on uudelleenasennettu tietomurron jäljiltä, ja palvelut toimivat jälleen. Heinäkuun 12. palvelin gluck.debian.org murrettiin käyttämällä paikallista pääkäyttäjä-haavoittuvuutta Linux-ytimessä. Tunkeutuja pääsi palvelimelle käyttämällä erään kehittäjän murrettua tunnusta.
Kärsineet ja väliaikaisesti alhaalla olleet palvelut: cvs, ddtp, lintian, people, popcon, planet, siirrokset sekä release.
Yksityiskohdat
Vähintään yhden kehittäjän tunnus oli murrettu jokin aika sitten ja hyökkääjä käytti tätä tunnusta päästäkseen Debianin pavelimelle. Hiljattain löydettyä paikallista pääkäyttäjä-haavoittuvuutta Linux-ytimessä käytettiin saamaan pääkäyttäjän oikeudet palvelimeen.
Heinäkuun 12. kello 02.43 UTC-aikaa luettiin epäilyttäviä sähköposteja, jotka hälyttivät Debianin ylläpidon. Seurannut tutkimus osoitti, että erään kehittäjän tunnus oli murrettu ja paikallista ydinhaavoittuvuutta oli hyväksikäytetty saamaan pääkäyttäjän oikeudet.
Heinäkuun 12. kello 04.30 UTC-aikaa gluck otettiin pois linjoilta ja uudelleenkäynnistettiin luotetulta medialta. Muut Debianin palvelimet lukittiin myöhempää tutkimusta varten, jotta selvitetään onko nekin murrettu. Ne tullaan päivittämään korjattuun ytimeen ennen avaamista.
Johtuen lyhyestä aikavälistä ytimen hyväksikäytön ja
Debian-ylläpitäjien havainnon välillä, hyökkääjällä ei ollut
aikaa/haluja aiheuttaa paljoa vahinkoa. Ainoa selvästi väärennetty
binääri oli /bin/ping
.
Murretulla tunnuksella ei ollut pääsyä millekään rajoitetuille Debianin koneille. Siten sekä normaalilla että tietoturva-arkistolla ei ollut vaaraa tulla murretuksi.
Kehittäjien salasanojen tutkimus paljasti useita huonoja salasanoja, ja sellaiset tunnukset lukittiin tästä syystä.
Koneiden tila on täällä.
Ytimen haavoittuvuus
Tähän murtoon käytetty ytimen haavoittuvuus on CVE-2006-2451. Se esiintyy vai Linux-ytimissä 2.6.13 versioihin ennen 2.6.17.4 sekä 2.6.16 ennen 2.6.16.24. Vika mahdollistaa paikallisen käyttäjän pääsyn pääkäyttäjän oikeuksiin käyttämällä prctl-funktion PR_SET_DUMPABLE-argumenttia yhdessä ohjelman kanssa, joka tekee muistivedostiedoston luonnin hakemistoon, johon käyttäjällä ei ole oikeuksia.
Nykyinen vakaa julkaisu, Debian GNU/Linux 3.1 alias "sarge", sisältää Linux-version 2.6.8 eikä se siten ole alttiina tälle ongelmalle. Murretussa palvelimessa oli käytössä Linux-versio 2.6.16.18.
Mikäli käytät Linux-versiota 2.6.13 versioon 2.6.17.4 asti tai Linux-versiota 2.6.16 versioon ennen 2.6.16.24, kannattaa ydin päivittää välittömästi.
Tietoja Debianista
Debian GNU/Linux on vapaa käyttöjärjestelmä, jota kehittää yli tuhat vapaaehtoista ympäri maailman. He tekevät yhteistyötä Internetin kautta. Debianin sitoutuminen Vapaisiin ohjelmistoihin, voittoa tavoittelematon luonne ja avoin kehitysmalli tekevät siitä ainutlaatuisen GNU/Linux-jakelun.
Debian-projektin avainvahvuudet ovat sen vapaaehtoispohja, omistautuminen Debianin yhteisösopimukseen ja sitoutuminen tarjoamaan parhaan mahdollisen käyttöjärjestelmän.
Yhteystiedot
Tarkempia tietoja löydät Debianin www-sivustolta osoitteesta https://www.debian.org/ tai lähettämällä sähköpostia (englanniksi) osoitteeseen <press@debian.org>.