gabuu
Neuling
Dabei seit: 21.08.2002
Beiträge: 22
 |
|
| [Generic/sendmail] Trojanisierter sendmail-Quellcode in Umlauf |
|
[Generic/sendmail] Trojanisierter sendmail-Quellcode in Umlauf
(2002-10-09 17:40:48.932543+02) Druckversion
Quelle: http://www.cert.org/advisories/CA-2002-28.html
Zwischen dem 28.9.2002 und 7.10.2002 waren manipulierte sendmail-Quellcode-Pakete über ftp.sendmail.org verfügbar, die eine Hintertür bei der Übersetzung des Quellcodes installieren. Möglicherweise bieten einige Mirror-Seiten nach wie vor die manipulierten Pakete an.
Betroffene Systeme
Systeme auf denen sendmail.8.12.6.tar.Z kompiliert wurde
Systeme auf denen sendmail.8.12.6.tar.gz kompiliert wurde
Einfallstor
Kompilierung der betroffenen sendmail-Quellcode-Pakete
Auswirkung
Installation eines Tunnels (TCP-Port 6667) zu einem im Quellcode festgelegten System. Die Hintertür wird durch einen Neustart des Systems offenbar beseitigt, würde bei einer neuerlichen Übersetzung der betroffenen Sourcen jedoch abermals installiert.
Typ der Verwundbarkeit
Trojanisierter Quellcode
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Zwischen dem 28. September 2002 und 07. Oktober 2002 (ca. 7:54 CET DST) waren über den FTP-Server ftp.sendmail.org (bzw. über Mirror-Seiten) manipulierte sendmail-Quellcode-Pakete verfügbar, die ein Hintertür bei der Übersetzung des Quellcodes installieren. Unter Umständen sind die manipulierten Pakete auf einigen Mirror-Seiten noch verfügbar.
Folgende Dateien beinhalten möglicherweise diese Hintertür:
sendmail.8.12.6.tar.Z
sendmail.8.12.6.tar.gz
Bei der Übersetzung des Quellcodes wird im Hintergrund ein Tunnel zu einem im Sourcecode definierten System über TCP-Port 6667 aufgebaut. Von diesem Zielsystem aus, kann ein Angreifer mit den Berechtigungen des Benutzers, der "sendmail" kompiliert hat, auf das betroffene System zugreifen. Nach bislang nicht verifizierten Informationen handelt es sich bei dem im Quellcode festgelegten Zielsystem um die IP-Adresse "66.37.138.99".
Gegenmaßnahmen
Die nicht manipulierten sendmail-Sourcecode-Pakete weisen folgende MD5-Checksummen auf (Verifizierung mittels des Programms "md5sum" bzw. "md5"):
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz
cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z
8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig
Die Sendmail-Source-Distribution ist mit folgendem PGP-Key signiert:
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002 <sendmail@Sendmail.ORG>
Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45
Vulnerability ID
CERT/CC: CA-2002-28
Weitere Information zu diesem Thema
Sendmail Distribution Contained Trojan Horse (Slashdot)
(tf)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2002 RUS-CERT, Universität Stuttgart, http://CERT.Uni-Stuttgart.DE/
Vorherige Meldung Weitere Meldungen... Nächste Meldung
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und Netnews ist ebenfalls möglich.
|
|
