[Generic/OpenSSH] OpenSSH-Distributionsserver manipuliert
(2002-08-01 11:04:03.118902+00) Druckversion
Ein unbekannter Angreifer hat auf ftp.openbsd.org
eine
manipulierte Quelltext-Distribution der OpenSSH-Version 3.4
abgelegt. Beide Versionen (OpenBSD und portabel) sollen betroffen sein.
Beim Kompilieren des manipulierten OpenSSH-Programmpakets,
welches aus der Datei openssh-3.4p1.tar.gz
bzw.
openssh-3.4.tar.gz
extrahiert
wurde, wird ein vorgebliches Testprogramm für den Blowfish-
Verschlüsselungsalgorithmus aufgerufen. Dieses angebliche Testprogramm
extrahiert jedoch ein weiteres C-Programm, dieses wird kompiliert und aufgerufen.
Das Programm baut eine TCP-Verbindung
zum Host mit der IP-Adresse 203.62.158.32 auf Port 6667 auf.
Falls der Host-Betreiber nicht eingreift, läuft die Kompilierung
von OpenSSH wie gewohnt ab; die erzeugten Programme sind in diesem
Fall nicht trojanisiert.
Das DFN-CERT hat die MD5-Hashes und Signaturen der betroffenen Quelltext-Distributionen verifiziert. Die Kopien am RUS-CERT wurden vor der Manipulation angelegt und sind daher von dieser Änderung nicht betroffen. Es wird dringend empfohlen, vor der Installation von Software immer vorhandene OpenPGP-Signaturen zu prüfen.
Auch einige Spiegel von ftp.openbsd.org
halten die
manipulierte Datei zum Download bereit.
Ob weitere Dateien auf dem FTP-Server verändert wurden, ist derzeit nicht
bekannt.
Revisionen dieser Meldung
- V.1.0 (2002-08-01)
- V.1.1 (2002-08-01) Originalversion hat kein Testprogramm für Blowfish.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.