Infrastruktur von Debian GNU/Linux erfolgreich angegriffen

#0
21.11.2003, 12:32
Moderator
Avatar joschi

Beiträge: 6466
#1 To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Subject: [Debian] Infrastruktur von Debian GNU/Linux erfolgreich angegriffen

[Debian] Infrastruktur von Debian GNU/Linux erfolgreich angegriffen
(2003-11-21 11:48:53.744525+01)
Quelle: http://cert.uni-stuttgart.de/files/fw/debian-security-20031121
.txt

Wichtige Teile der Debian-Infrastrukur wurden kompromittiert.
Möglicherweise befinden sich manipulierte Debian-Pakete auf
offiziellen Mirrors.

Betroffene Systeme
* Systeme, die Debian GNU/Linux einsetzen.

Einfallstor
Manuelles oder automatisches Einspielen von Debian-Paketen (z.B. via
apt-get zum Einspielen von Sicherheitsupdates).

Auswirkung
Falls erfolgreich manipulierte Debian-Pakete eingeschleust wurden,
können Debian-Installationen, die manuell oder automatisch Pakete
einspielen (z.B. mittels apt-get) ebenfalls kompromittiert werden.

Gefahrenpotential
sehr hoch (falls tatsächlich Pakete manipuliert wurden)
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Zentrale Teile der Debian-Infrastruktur wurden erfolgreich angegriffen
und am 2003-11-20 kompromittiert. (Die Debian-Infrastruktur besteht im
wesentlichen aus einer Reihe von weltweit verteilten Maschinen unter
einer einheitlichen Authentifizierungsinfrastruktur, auf die die rund
tausend Debian-Entwickler Shell-Zugriff haben.) Zu den betroffenen
Maschinen zählt auch security.debian.org, worüber die
Debian-Sicherheitsupdates verbreitet werden.

Die Entdeckung der Kompromittierung fällt mit der Veröffentlichung von
Debian GNU/Linux 3.0r2 zusammen. Eine Überprüfung ergab, daß die
Pakete dieser Version jedoch nicht manipuliert wurden. Gleiches gilt
für das reguläre Archiv (außer nicht non-us und security.debian.org)
-- hier geht man derzeit auch von keiner Kompromittierung aus.

An dieser Stelle sei auch darauf hingewiesen, daß die Verteilung von
Debian-Paketen (insbesondere auch Sicherheitspatches) nicht
kryptographisch gesichert wird bzw. die vorhandenen digitalen
Signaturen nicht von typischen Debian-Installationen geprüft werden.
Dadurch kann jeder Mirror-Betreiber im Prinzip modifizierte Pakete
anbieten.

Gegenmaßnahmen
* Verzicht auf das Einspielen von Updates (insbesondere auch
Sicherheitspatches), bis die Situation geklärt ist.
* Sperrung des Zugriffs auf Inhalte von Debian-Mirrors, um
automatische Updates zu unterbinden.

Aktuelle Version dieses Artikels
[2]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1167

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[3]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1167
3. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.11.2003, 10:05
Ehrenmitglied

Beiträge: 831
#2 Some Debian Project machines have been compromised
From: Martin Schulze <joey@infodrom.org>
Date: Friday 21 November 2003 12:40:12

------------------------------------------------------------------------
The Debian Project http://www.debian.org/
Some Debian Project machines compromised press@debian.org
November 21st, 2003
------------------------------------------------------------------------

Some Debian Project machines have been compromised

This is a very unfortunate incident to report about. Some Debian
servers were found to have been compromised in the last 24 hours.

The archive is not affected by this compromise!

In particular the following machines have been affected:

. master (Bug Tracking System)
. murphy (mailing lists)
. gluck (web, cvs)
. klecker (security, non-us, web search, www-master)

Some of these services are currently not available as the machines
undergo close inspection. Some services have been moved to other
machines (www.debian.org for example).

The security archive will be verified from trusted sources before it
will become available again.

Please note that we have recently prepared a new point release for
Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been
announced yet, it has been pushed to our mirrors already. The
announcement was scheduled for this morning but had to be postponed.
This update has now been checked and it is not affected by the
compromise.

We apologise for the disruptions of some services over the next few
days. We are working on restoring the services and verifying the
content of our archives.


Contact Information
-------------------

For further information, please visit the Debian web pages at
<http://www.debian.org/> or contact <press@debian.org>.
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: