Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1018

[Generic/tcpdump,libpcap] Versionen mit trojanischem Pferd in Umlauf
(2002-11-13 17:07:25.218952+00)

Quelle: http://slashdot.org/articles/02/11/13/1255243.shtml?tid=172

Über www.tcpdump.org (sowie Mirror-Seiten) wurden manipulierte libpcap- und tcpdump-Versionen verbreitet.

Betroffene Systeme

Einfallstor
Installation von libpcap/tcpdump

Auswirkung
Die manipulierte Version soll offenbar Verbindungen über Port 1963 zu einem System (212.146.0.34 - mars.raketti.net) aufbauen und dem Angreifer ggf. Shell-Zugang ermöglichen. Dieser Netzwerkverkehr wird von den manipulierten libpcap/tcpdump-Versionen nicht protokolliert.

Typ der Verwundbarkeit
mit einem trojanischen Pferd versehene Version

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Nach bislang nicht verifizierten Angaben wurde in einem derzeit nicht genau bestimmten Zeitpunkt eine mit einem trojanischen Pferd versehene libpcap/tcpdump-Version verbreitet. Potentiell ist der Zeitraum zwischen dem 30.10.2002 und dem 13.11.2002 betroffen. Unter Umständen sind manipulierte Pakete auf einigen Mirror-Seiten noch verfügbar. Über die Umstände der Manipulationen auf www.tcpdump.org ist bislang nichts bekannt.

Feststellen der Verwundbarkeit
Mit einem trojanischen Pferd versehene libpcap/tcpdump-Dateien weisen eine Zeile der Form "char *str, *tmp, *new = "not port 1963";" auf, wodurch z.B. mittels der Befehle

strings -a /usr/sbin/tcpdump | fgrep 'not port 1963'
strings -a /usr/lib/libpcap* | fgrep 'not port 1963'
diesbezügliche Eintragungen angezeigt werden könnten.

Gegenmaßnahmen
Die nicht manipulierten Pakete weisen folgende MD5-Checksummen auf (Verifizierung mittels des Programms "md5sum" bzw. "md5"):

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1018