[Debian] Infrastruktur von Debian GNU/Linux erfolgreich angegriffen
(2003-11-21 10:48:53.744525+00)
Quelle:
http://cert.uni-stuttgart.de/files/fw/debian-security-20031121.txt
Wichtige Teile der Debian-Infrastrukur wurden kompromittiert. Möglicherweise befinden sich manipulierte Debian-Pakete auf Mirrors.
Betroffene Systeme
- Systeme, die Debian GNU/Linux einsetzen.
Einfallstor
Manuelles oder automatisches Einspielen von Debian-Paketen (z.B. via apt-get
zum Einspielen von Sicherheitsupdates).
Auswirkung
Falls erfolgreich manipulierte Debian-Pakete eingeschleust wurden, können Debian-Installationen, die manuell oder automatisch Pakete einspielen (z.B. mittels apt-get
) ebenfalls kompromittiert werden.
Gefahrenpotential
sehr hoch (falls tatsächlich Pakete manipuliert wurden)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Zentrale Teile der Debian-Infrastruktur wurden erfolgreich angegriffen und am 2003-11-20 kompromittiert. (Die Debian-Infrastruktur besteht im wesentlichen aus einer Reihe von weltweit verteilten Maschinen unter einer einheitlichen Authentifizierungsinfrastruktur, auf die die rund tausend Debian-Entwickler Shell-Zugriff haben.) Zu den betroffenen Maschinen zählt auch security.debian.org
, worüber die Debian-Sicherheitsupdates verbreitet werden.
Die Entdeckung der Kompromittierung fällt mit der Veröffentlichung von Debian GNU/Linux 3.0r2 zusammen. Eine Überprüfung ergab, daß die Pakete dieser Version jedoch nicht manipuliert wurden. Gleiches gilt für das reguläre Archiv (außer non-us
und security.debian.org
) -- hier geht man derzeit auch von keiner Kompromittierung aus.
An dieser Stelle sei auch darauf hingewiesen, daß die Verteilung von Debian-Paketen (insbesondere auch Sicherheitspatches) nicht kryptographisch gesichert wird bzw. die vorhandenen digitalen Signaturen nicht von typischen Debian-Installationen geprüft werden. Dadurch kann jeder Mirror-Betreiber im Prinzip modifizierte Pakete anbieten.
Gegenmaßnahmen
- Verzicht auf das Einspielen von Updates (insbesondere auch Sicherheitspatches), bis die Situation geklärt ist.
- Sperrung des Zugriffs auf Inhalte von Debian-Mirrors, um automatische Updates zu unterbinden.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1167