Donnerstag, 4. Dezember 2008

News

präsentiert von: JAXenter
Montag, 25. August 2008

Fedora und Red Hat Server kompromittiert

Einige Server des Fedora-Projekts standen zeitweilig unter der Kontrolle eines Angreifers. Darunter befand sich auch ein Server, der für das Signieren von Programmpaketen verwendet wird. Der Angreifer hatte zwar mit ziemlicher Sicherheit keinen Zugriff auf die Passphrase des verwendeten Schlüssels, dieser wird jedoch sicherheitshalber trotzdem demnächst ausgetauscht. Programmpakete wurden allem Anschein nach nicht manipuliert.

Auch Red Hat Server betroffen

Außer Fedora-Servern wurden unabhängig davon auch einige Server von Red Hat angegriffen. Dort wurden einige eventuell manipulierte OpenSSH-Pakete signiert, für die Updates bereit stehen. Betroffen sind nur Pakete für Red Hat Enterprise Linux 4 (i386- und x86_64-Architektur) und Red Hat Enterprise Linux 5 (x86_64-Architektur), die nicht über das Red Hat Network (RHN) bezogen wurden. Red Hat hat ein Shellscript zur Verfügung gestellt, das betroffene Pakete erkennt.

Kommentar

Der Wechsel des Fedora-Schlüssels ist zwingend notwendig, da der Angreifer im Besitz des aktuellen Schlüssels ist und eventuell die Passphrase selbst ermitteln kann. Gelingt ihm dies, kann er danach manipulierte Pakete signieren und über z.B. einen (Fake-)Mirror der offiziellen Server verteilen. Weshalb ein zum Signieren verwendeter Server entgegen der üblichen Praxis eine Verbindung mit dem Internet hat, ist nicht bekannt.

Dasselbe gilt eigentlich auch für Red Hat. Da dort der Schlüssel nicht ausgetauscht wird und nur vom Signieren einiger OpenSSH-Pakete berichtet wurde, vermute ich dort eine andere Vorgehensweise. Vermutlich ist der Signatur-Server nicht mit dem Internet verbunden, sondern die zu signierenden Pakete werden von einem mit dem Internet verbundenen Rechner über z.B. einen USB-Stick auf den Signatur-Server transportiert. Der Angreifer konnte dann wohl einige eigene Pakete in den Signaturprozess einschleusen.

Benutzer von Red Hat Enterprise Linux 4 und 5, die in letzter Zeit OpenSSH installiert haben, sollten ihr System mit dem von Red Hat bereitgestellten Shellscript überprüfen und ggf. die Updates installieren.

Carsten Eilers

Kommentare

+ Neuen Kommentar verfassen
Ihre Meinung ist uns wichtig!
Mobile Computing Heute & Morgen!
Nehmen Sie an unserer Umfrage zum Thema Mobile Computing in Deutschland teil und nutzen Sie die Chance eine Casio Exilim EX-Z1050-Digitalkamera zu gewinnen!
Mehr Informationen »
dot.net Code Camp C# 3.5
alle Konferenzen »

Konferenzen

BASTA! Spring 2009

BASTA! Spring 2009

23.-27. Februar 2009
Maritim Rhein-Main Hotel Wissenschaftsstadt Darmstadt

BASTA! Italia 2009

BASTA! Italia 2009

16.-18. März 2009
Holiday Inn EUR Parco dei Medici, Roma

PHPCon Italia 2009

PHPCon Italia 2009

18.-20. März 2009
Holiday Inn EUR Parco dei Medici, Roma

JAX 09

JAX 09

20.-24. April 2009
Rheingoldhalle Mainz

webinale 09

webinale 09

25.-27. Mai 2009
Berlin

Werbung
Top-Jobs

Signsoft GmbH

Java-Entwickler (m/w)

Software & Support Verlag GmbH

Lektor (m/w), Vollzeit

Endress+Hauser GmbH+Co. KG

Entwickler Datenbanksysteme (m/w)

Software & Support Verlag GmbH

Redakteur (m/w), Vollzeit

Software & Support Verlag GmbH

Volontär (w/m) Redaktion, Vollzeit
JAX 09

Magazine

Entwickler Magazin - Enterprise Technologies & Business Solutions

Entwickler Magazin

Enterprise Technologies & Business Solutions

dot.net magazin - die unabhängige Quelle für .NET-Technologien

dot.net magazin

Die Quelle für .NET-Technologien

Eclipse Magazin

Eclipse Magazin

Weltweit erstes Magazin für Eclipse-Entwickler

Java Magazin - Internet & Enterprise Technology

Java Magazin

Internet & Enterprise Technology

CREATE OR DIE - Ein Leben für die Kreativität

CREATE OR DIE

Ein Leben für die Kreativität

Business Technology - Management Magazin

Business Technology

Management Magazin

PHP Magazin - Professional PHP Development

PHP Magazin

Professional PHP Development

Bücher


hosted by HostEurope