[Generic/tcpdump,libpcap] Versionen mit trojanischem Pferd in Umlauf
(2002-11-13 17:07:25.218952+00)
Quelle:
http://slashdot.org/articles/02/11/13/1255243.shtml?tid=172Über www.tcpdump.org (sowie Mirror-Seiten) wurden manipulierte libpcap- und tcpdump-Versionen verbreitet.
Betroffene Systeme
- Systeme, auf denen
libpcap 0.7.1installiert wurde - Systeme, auf denen
tcpdump 3.6.2installiert wurde - Systeme, auf denen
tcpdump 3.7.1installiert wurde
Einfallstor
Installation von libpcap/tcpdump
Auswirkung
Die manipulierte Version soll offenbar Verbindungen über Port 1963 zu einem System (212.146.0.34 - mars.raketti.net) aufbauen und dem Angreifer ggf. Shell-Zugang ermöglichen. Dieser Netzwerkverkehr wird von den manipulierten libpcap/tcpdump-Versionen nicht protokolliert.
Typ der Verwundbarkeit
mit einem trojanischen Pferd versehene Version
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Nach bislang nicht verifizierten Angaben wurde in einem derzeit nicht genau bestimmten Zeitpunkt eine mit einem trojanischen Pferd versehene libpcap/tcpdump-Version verbreitet. Potentiell ist der Zeitraum zwischen dem 30.10.2002 und dem 13.11.2002 betroffen. Unter Umständen sind manipulierte Pakete auf einigen Mirror-Seiten noch verfügbar. Über die Umstände der Manipulationen auf www.tcpdump.org ist bislang nichts bekannt.
Feststellen der Verwundbarkeit
Mit einem trojanischen Pferd versehene libpcap/tcpdump-Dateien weisen eine Zeile der Form "char *str, *tmp, *new = "not port 1963";" auf, wodurch z.B. mittels der Befehle
strings -a /usr/sbin/tcpdump | fgrep 'not port 1963' strings -a /usr/lib/libpcap* | fgrep 'not port 1963'diesbezügliche Eintragungen angezeigt werden könnten.
Gegenmaßnahmen
Die nicht manipulierten Pakete weisen folgende MD5-Checksummen auf (Verifizierung mittels des Programms "md5sum" bzw. "md5"):
0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz
Weitere Information zu diesem Thema
- Latest libpcap & tcpdump sources from tcpdump.org contain a trojan (Houston Linux Users Group)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1018