[Generic/sendmail] Trojanisierter sendmail-Quellcode in Umlauf
(2002-10-09 15:40:48.932543+00)
Quelle:
http://www.cert.org/advisories/CA-2002-28.htmlZwischen dem 28.9.2002 und 7.10.2002 waren manipulierte sendmail-Quellcode-Pakete über ftp.sendmail.org verfügbar, die eine Hintertür bei der Übersetzung des Quellcodes installieren. Möglicherweise bieten einige Mirror-Seiten nach wie vor die manipulierten Pakete an.
Betroffene Systeme
- Systeme auf denen
sendmail.8.12.6.tar.Zkompiliert wurde - Systeme auf denen
sendmail.8.12.6.tar.gzkompiliert wurde
Einfallstor
Kompilierung der betroffenen sendmail-Quellcode-Pakete
Auswirkung
Installation eines Tunnels (TCP-Port 6667) zu einem im Quellcode festgelegten System. Die Hintertür wird durch einen Neustart des Systems offenbar beseitigt, würde bei einer neuerlichen Übersetzung der betroffenen Sourcen jedoch abermals installiert.
Typ der Verwundbarkeit
Trojanisierter Quellcode
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Zwischen dem 28. September 2002 und 07. Oktober 2002 (ca. 7:54 CET DST) waren über den FTP-Server ftp.sendmail.org (bzw. über Mirror-Seiten) manipulierte sendmail-Quellcode-Pakete verfügbar, die ein Hintertür bei der Übersetzung des Quellcodes installieren. Unter Umständen sind die manipulierten Pakete auf einigen Mirror-Seiten noch verfügbar.
Folgende Dateien beinhalten möglicherweise diese Hintertür:
sendmail.8.12.6.tar.Z sendmail.8.12.6.tar.gzBei der Übersetzung des Quellcodes wird im Hintergrund ein Tunnel zu einem im Sourcecode definierten System über TCP-Port 6667 aufgebaut. Von diesem Zielsystem aus, kann ein Angreifer mit den Berechtigungen des Benutzers, der "sendmail" kompiliert hat, auf das betroffene System zugreifen. Nach bislang nicht verifizierten Informationen handelt es sich bei dem im Quellcode festgelegten Zielsystem um die IP-Adresse "66.37.138.99".
Gegenmaßnahmen
Die nicht manipulierten sendmail-Sourcecode-Pakete weisen folgende MD5-Checksummen auf (Verifizierung mittels des Programms "md5sum" bzw. "md5"):
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gzcebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002 <sendmail@Sendmail.ORG> Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45
Vulnerability ID
- CERT/CC: CA-2002-28
Weitere Information zu diesem Thema
- Sendmail Distribution Contained Trojan Horse (Slashdot)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=987