You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1018

[Generic/tcpdump,libpcap] Versionen mit trojanischem Pferd in Umlauf
(2002-11-13 17:07:25.218952+00) Druckversion

Quelle: http://slashdot.org/articles/02/11/13/1255243.shtml?tid=172

Über www.tcpdump.org (sowie Mirror-Seiten) wurden manipulierte libpcap- und tcpdump-Versionen verbreitet.

Betroffene Systeme

  • Systeme, auf denen libpcap 0.7.1 installiert wurde
  • Systeme, auf denen tcpdump 3.6.2 installiert wurde
  • Systeme, auf denen tcpdump 3.7.1 installiert wurde

Einfallstor
Installation von libpcap/tcpdump

Auswirkung
Die manipulierte Version soll offenbar Verbindungen über Port 1963 zu einem System (212.146.0.34 - mars.raketti.net) aufbauen und dem Angreifer ggf. Shell-Zugang ermöglichen. Dieser Netzwerkverkehr wird von den manipulierten libpcap/tcpdump-Versionen nicht protokolliert.

Typ der Verwundbarkeit
mit einem trojanischen Pferd versehene Version

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Nach bislang nicht verifizierten Angaben wurde in einem derzeit nicht genau bestimmten Zeitpunkt eine mit einem trojanischen Pferd versehene libpcap/tcpdump-Version verbreitet. Potentiell ist der Zeitraum zwischen dem 30.10.2002 und dem 13.11.2002 betroffen. Unter Umständen sind manipulierte Pakete auf einigen Mirror-Seiten noch verfügbar. Über die Umstände der Manipulationen auf www.tcpdump.org ist bislang nichts bekannt.

Feststellen der Verwundbarkeit
Mit einem trojanischen Pferd versehene libpcap/tcpdump-Dateien weisen eine Zeile der Form "char *str, *tmp, *new = "not port 1963";" auf, wodurch z.B. mittels der Befehle

strings -a /usr/sbin/tcpdump | fgrep 'not port 1963'
strings -a /usr/lib/libpcap* | fgrep 'not port 1963'
diesbezügliche Eintragungen angezeigt werden könnten.

Gegenmaßnahmen
Die nicht manipulierten Pakete weisen folgende MD5-Checksummen auf (Verifizierung mittels des Programms "md5sum" bzw. "md5"):

  • 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
  • 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
  • 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.