Debian leckt die Wunden

Debian legt eine Analyse des Angriffs auf die eigenen Server vor. Ursache ist ein unterschätztes Loch im Linux-Kernel.

Artikel erschienen in Swiss IT Magazine 2003/22

     

Die Entwickler des Debian-Projekts haben ihren Abschlussbericht zum Einbruch in ihre Server vorgelegt, wobei die Aufräumarbeiten noch immer im Gange sind. In dem Bericht legen die Projektmanager dar, wie es den Unbekannten gelungen ist, Root-Rechte auf vier Projektserver von Debian zu erlangen.



Nachdem die Angreifer ein Passwort zu einem User-Account sniffen konnten, verschafften sie sich mit Hilfe eines bisher unbekannten lokalen Root-Exploits in der Kernelfunktion brk() Root-Rechte auf den Servern "master" und "klecker", die unter anderem für die Versionskontrolle und die Security-Updates eingesetzt werden. Auf die restlichen Server gelangten die Angreifer dann von "master" aus und installierten überall ein Root-Kit. Nachdem man erste Unregelmässigkeiten bemerkte, die sich in sogenannten Kernel-Oops äusserten, die durch das Root-Kit verursacht wurden, handelte man beim Debian-Projekt schnell und schaltete einen Server nach dem anderen ab.




Bei der Analyse konnten bisher keine Verunreinigungen der Linux-Distribution und der Security-Updates festgestellt werden, was die Administratoren von Debian-Systemen immerhin einigermassen beruhigen dürfte.



Verwunderlich ist, dass die Kernel-Entwickler rund um Linus Torvalds schon seit einiger Zeit den Bug kannten. Er wurde bereits im September entdeckt und im Oktober-Pre-Release des 2.4.23-Kernels behoben. Die Sicherheitsimplikationen wurden damals aber nicht als so gravierend eingestuft, so dass keine speziellen Patches veröffentlicht wurden. Frühere Versionen des 2.4er-Kernels sind allesamt vom Fehler betroffen. Die meisten Distributoren haben inzwischen Sicherheitsupdates angekündigt oder bereits veröffentlicht.


2.6.0 steht vor der Tür

Die Version 2.4.23 wird wohl eine der letzten Versionen des aktuellen 2.4er-Stranges sein, da die neue Version 2.6.0 angeblich schon vor der Tür steht. Im Rahmen der Freigabe des voraussichtlich letzten Pre-Releases namens 2.6.0-test11 hat Andrew Morton, Mitglied des Open Source Developement Labs (OSDL) und ab sofort offizieller Maintainer des 2.6er Stranges, bekanntgegeben, dass er die Veröffentlichung des neuen Kernels noch dieses Jahr plane, höchstwahrscheinlich Mitte Dezember.




Als Reaktion auf die Vorwürfe von SCO hat man im 2.6er-Kernel die strittigen Codezeilen ersetzt und beim OSDL eine Informationskampagne gestartet, die den Benutzern von Linux den Entwicklungsprozess des Kernels näher bringen soll.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER