WICHTIG: Maschinen von Debian.org kompromittiert!

Rund um die Sicherheit des Systems und die Applikationen
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

WICHTIG: Maschinen von Debian.org kompromittiert!

Post by dodolin » 2003-11-21 12:47

http://CERT.Uni-Stuttgart.DE/ticker/art ... p?mid=1167
http://www.heise.de/newsticker/data/odi-21.11.03-001/
http://cert.uni-stuttgart.de/files/fw/d ... 031121.txt

Wie in der RUS-CERT Meldung zu lesen, ist es dringend anzuraten, vorerst keine Updates von Debian-Systemen z.B. via apt-get, dselect und Co. vorzunehmen und abzuwarten, bis die Situation geklärt ist.

robertw
Posts: 165
Joined: 2002-12-17 16:10
Location: Berlin

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by robertw » 2003-11-21 13:10

Heftig...

Mein erster Gedanke: Wir streitens und hier über "Anfänger", die wenig Ahnung haben - und sogar bei den Profis findet sich immer noch irgendwo eine Lücke...

:evil:

Wenn es eine Erweiterung der "Entscheidungshilfe Rootserver" geben könnte, dann eher mit diesem Thema.

Robert

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by captaincrunch » 2003-11-21 13:20

Ich sag's ja immer wieder gerne : der einzig sichere Rechner steht kilometerweit unter der Erde in einem Atombunker ohne jegliche Außenanbindung. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by dodolin » 2003-11-21 13:22

@RobertW:

Ich bin mir ziemlich sicher, dass es einen Unterschied zwischen diesem erfolgreichen Hack und denen von N00b-Rootservern gibt:

Die Rootserver sind teilweise so unsicher konfiguriert, dass es für Scriptkids ein leichtes ist, mit automatisierten Tools auf Knopfdruck eine Rootshell zu erhalten.

Ohne jetzt näheres zu wissen, gehe ich schwer davon aus, dass das bei den Debianservern sicher nicht der Fall war, und dort nur jemand mit enormem Fachwissen (möglicherweise sogar Insiderwissen) mit nicht unerheblichem Aufwand erfolgreich einbrechen konnte. Außerdem wurde dort der Hack innerhalb von 24h bemerkt, was man von Rootservern auch nicht gerade behaupten kann. Dann wurde er sofort öffentlich bekannt gegeben, wohingegen bei Rootservern, die oft als Reseller benutzt werden, alles daran gesetzt wird, das vor den "Kunden" zu vertuschen...

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by mikespi » 2003-11-21 14:23

Hallo,

ich habe gestern mein Debian frisch installiert ( liege also in den 24 Stunden ),
wäre es besser ich installiere neu?

zwecks der Sicherheit

Danke
Mike

gopha
Posts: 26
Joined: 2003-02-24 10:02

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by gopha » 2003-11-21 15:28

Laut Heisemeldung wurden keinerlei Softwarepakete komprimiert, die letzten Ã?nderungen wurden am 17.11 vorgenommen.

Siehe auch http://heise.de/security/news/meldung/42258

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by mikespi » 2003-11-21 16:03

ja habe ich auch gelesen,
ich wollte eigentlich Meinungen hören was andere in dieser Situation machen würden.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by dodolin » 2003-11-21 18:41

wäre es besser ich installiere neu?
Wenn du noch nichts groß konfiguriert hast, würde ich das tun. Allerdings erst mal noch ein paar Tage abwarten, bis die Archive alle wieder vollständig aus gesicherten Quellen stammen.

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by mikespi » 2003-11-21 19:24

Hallo Dodolin,

deine Antwort bestärkt mich in meiner Absicht.
Die Konfiguration würde ich mal so bei 50% sehen.

So kann ich das Script von CC ja gleich noch mal nutzen. :wink:

Danke
Mike

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by lufthansen » 2003-11-24 12:10

hat jemand von euch eigentlich infos wie die da rein gekommen sind ?
buggy soft oder social enginering ?
und weiß jemand ob packete wirklich manipuliert worden sind ?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by captaincrunch » 2003-11-24 12:17

Angeblich ein verdammt mies gewähltes Passwort.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by lufthansen » 2003-11-24 12:25

von wem den ? root ? einem sys user ?
gibt es da irgend wo genauere infos ?

metrix
Posts: 94
Joined: 2002-10-26 15:52

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by metrix » 2003-11-24 12:31

wie seht ihr das eigentlich? kann man mittlerweile guten gewissens auf r2 updaten?

habe seit der meldung kein apt-get upgrade mehr gefahren ...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by captaincrunch » 2003-11-24 13:00

Please note that we have recently prepared a new point release for Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been announced yet, it has been pushed to our mirrors already. The announcement was scheduled for this morning but had to be postponed. This update has now been checked and it is not affected by the compromise.
Quelle : http://www.debian.org/News/2003/20031121
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by dodolin » 2003-11-26 09:55

Angeblich ein verdammt mies gewähltes Passwort.
Entweder das, oder es wurde wo gesnifft etc. pp.
von wem den ? root ? einem sys user ?
Auf den gecrackten Maschinen hatte jeder Debian Developer (DD) einen Zugang. Es ist immer ein Problem, wenn man Maschinen betreut, zu denen mehrere Hunderte oder gar Tausende User einen Zugang haben...
gibt es da irgend wo genauere infos ?
http://www.wiggy.net/debian/
http://www.wiggy.net/debian/status/
usw.

Außerdem in der Newsgruppe de.comp.security.misc, da gibts nen Megathread dazu, indem auch DD's mitschreiben, die da etwas besser informiert sein dürften...

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by captaincrunch » 2003-11-26 10:14

Laut http://www.wiggy.net/debian/developer-securing/ scheint es mir fast so, als wären auch Rootkits im Spiel gewesen. Nichtsdestotrotz enthält das ganze aber auch ein paar ziemlich nützliche Tips, wie man sein System noch weiter sichern kann.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by dodolin » 2003-11-26 11:06

scheint es mir fast so, als wären auch Rootkits im Spiel gewesen
Ja. Die Vermutungen lauten wohl so ähnlich wie:

User-Account auf $Maschine bekommen, lokaler Exploit mit Priviledge Escalation, danach root auf $Maschine. Da die Debianinfrastruktur wohl mit verteiltem PW-Management arbeitet, hatte er durch den User-Account automatisch auch Zugriff auf die anderen Maschinen, wo vermutlich der selbe lokale Exploit funktionierte.

Mit den root-Rechten wurden dann wohl pty-Sniffer und Co. installiert, um noch viele weitere Passwörter und Infos zu erhalten.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: WICHTIG: Maschinen von Debian.org kompromittiert!

Post by captaincrunch » 2003-11-28 09:07

So, jetzt ist es wenigstens halbwegs raus :
http://lists.debian.org/debian-devel-an ... 00012.html

Es begann wohl wirklich mit einem gesnifften Passwort.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc