Ein unbekannter Angreifer hat auf ftp.openbsd.org eine manipulierte Quelltext-Distribution der OpenSSH-Version 3.4 abgelegt. Beide Versionen (OpenBSD und portabel) sollen betroffen sein.

Beim Kompilieren des manipulierten OpenSSH-Programmpakets, welches aus der Datei openssh-3.4p1.tar.gz bzw. openssh-3.4.tar.gz extrahiert wurde, wird ein vorgebliches Testprogramm für den Blowfish- Verschlüsselungsalgorithmus aufgerufen. Dieses angebliche Testprogramm extrahiert jedoch ein weiteres C-Programm, dieses wird kompiliert und aufgerufen. Das Programm baut eine TCP-Verbindung zum Host mit der IP-Adresse 203.62.158.32 auf Port 6667 auf. Falls der Host-Betreiber nicht eingreift, läuft die Kompilierung von OpenSSH wie gewohnt ab; die erzeugten Programme sind in diesem Fall nicht trojanisiert.

Das DFN-CERT hat die MD5-Hashes und Signaturen der betroffenen Quelltext-Distributionen verifiziert. Die Kopien am RUS-CERT wurden vor der Manipulation angelegt und sind daher von dieser Änderung nicht betroffen. Es wird dringend empfohlen, vor der Installation von Software immer vorhandene OpenPGP-Signaturen zu prüfen.

Auch einige Spiegel von ftp.openbsd.org halten die manipulierte Datei zum Download bereit. Ob weitere Dateien auf dem FTP-Server verändert wurden, ist derzeit nicht bekannt.

Revisionen dieser Meldung

• V.1.0 (2002-08-01)
• V.1.1 (2002-08-01) Originalversion hat kein Testprogramm für Blowfish.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/