Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-987

[Generic/sendmail] Trojanisierter sendmail-Quellcode in Umlauf
(2002-10-09 15:40:48.932543+00)

Quelle: http://www.cert.org/advisories/CA-2002-28.html

Zwischen dem 28.9.2002 und 7.10.2002 waren manipulierte sendmail-Quellcode-Pakete über ftp.sendmail.org verfügbar, die eine Hintertür bei der Übersetzung des Quellcodes installieren. Möglicherweise bieten einige Mirror-Seiten nach wie vor die manipulierten Pakete an.

Betroffene Systeme

Einfallstor
Kompilierung der betroffenen sendmail-Quellcode-Pakete

Auswirkung
Installation eines Tunnels (TCP-Port 6667) zu einem im Quellcode festgelegten System. Die Hintertür wird durch einen Neustart des Systems offenbar beseitigt, würde bei einer neuerlichen Übersetzung der betroffenen Sourcen jedoch abermals installiert.

Typ der Verwundbarkeit
Trojanisierter Quellcode

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Zwischen dem 28. September 2002 und 07. Oktober 2002 (ca. 7:54 CET DST) waren über den FTP-Server ftp.sendmail.org (bzw. über Mirror-Seiten) manipulierte sendmail-Quellcode-Pakete verfügbar, die ein Hintertür bei der Übersetzung des Quellcodes installieren. Unter Umständen sind die manipulierten Pakete auf einigen Mirror-Seiten noch verfügbar.
Folgende Dateien beinhalten möglicherweise diese Hintertür:

sendmail.8.12.6.tar.Z
sendmail.8.12.6.tar.gz
Bei der Übersetzung des Quellcodes wird im Hintergrund ein Tunnel zu einem im Sourcecode definierten System über TCP-Port 6667 aufgebaut. Von diesem Zielsystem aus, kann ein Angreifer mit den Berechtigungen des Benutzers, der "sendmail" kompiliert hat, auf das betroffene System zugreifen. Nach bislang nicht verifizierten Informationen handelt es sich bei dem im Quellcode festgelegten Zielsystem um die IP-Adresse "66.37.138.99".

Gegenmaßnahmen
Die nicht manipulierten sendmail-Sourcecode-Pakete weisen folgende MD5-Checksummen auf (Verifizierung mittels des Programms "md5sum" bzw. "md5"):

Die Sendmail-Source-Distribution ist mit folgendem PGP-Key signiert:
pub    1024R/678C0A03    2001-12-18   Sendmail   Signing   Key/2002 <sendmail@Sendmail.ORG>
Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=987