Wieder openssh

Cord Beermann cord at lug-owl.de
Thu Aug 1 22:04:02 CEST 2002


Hallo! Du (Bernhard Sadlowski) hast geschrieben:

>Ok. Gut daß ich diese Nacht nicht kompiliert habe. ;-) Betroffen sind ja
>auch gleich mehrere openssh Versionen laut einem posting auf bugtraq:
>3.4p1, 3.4 und 3.2.2p1.

3.4p1, 3.2.2p1 aus dem portable(sp?)-Bereich, 3.4 aus dem
Original-OpenBSD-Bereich. was sonst noch auf der Kiste ausgetauischt
wurde weiss man (noch?) nicht.

>> Bei Debian muesst zusaetzlich zum Austausch des *.deb auch noch die
>> Packages-Datei 'angepasst' werden. in dieser ist eine MD5sum.
>
>Zumindest bei diesem Trojaner... Aber wenn schon das Makefile verändert
>wurde, kann beliebig viel geändert werden, auch ein .c das ein anderes
>Binary liefert. Am besten ist wohl, wenn der Maintainer das Package
>direkt vom Entwickler bekommt ohne Umwege über ein Archiv und mit
>PGP/GPG signiert. Vielleicht geschieht das ja bereits.

hae? wenn das Maekfile sich aendert aendert sich auch die md5sum des
Packages.

>Das ist ja bei dem so sicheren OpenBsd Archiv offenbar auch passiert.

Die vermutlich gehackte Kiste ist ftp.openbsd.org. Das ist eine
Solaris 6 oder 7-Buechse auf der auch ein SunSITE-Mirror laeuft. Grad
heute ist noch ein netter RPC-Bug durchgekommen, vermutet wird aber
eher das es einen funktionierenden OpenSSL-EXploit gibt und das es
darueber passiert ist (dazu passen zumindest die Zeiten dieses
Angriffes.

>Wäre es dann nicht sinnvoll die checksums nicht nur im *.deb sondern
>auch zusätzlich auf einem separaten Server abzulegen? Falls ein Server
>gehackt wird (man muss ja flo nichts böses unterstellen), dann hat
>apt-get mehr Chancen den Austausch zu erkennen. Wenn beide Server
>gleichzeitig gehackt werden, dann kann man nur beten...

oder der master von den alle Ihre md5s holen :-)

>Gleiches Problem kann es aber auch mit den SuSE oder Redhat
>Updateservern geben. Wer die hackt, kann einiges anrichten. Ich bin
>jedenfalls mit Debian sehr zufrieden, setze es selbst ein und will daß
>es noch besser wird. Wir haben hier in der Firma noch einige SuSE/Redhat
>Rechner stehen, die besser auf Debian laufen sollten. :) 

An dieser Stelle hat rpm dem debian-Format was voraus. rpm-Pakete
enthalten nicht nur eine md5-checksum, sondern auch noch eine
GnuPG-Signatur. sowas ist bei deb derzeit nicht eingebaut.

Cord

-- 
Cord Beermann   cord at Wunder-Nett.org (Privat)
Fachbegriffe der Informatik 297: "extensiv getestet": Bislang verschwiegener
Bestandteil der letzten Lieferung (Lutz Donnerhacke)



More information about the Linux mailing list