Software::Distributionen::Fedora
Fedora und Red Hat räumen Server-Einbruch ein
Die seit Ende letzter Woche von Fedora-Projektleiter Paul Frields gemeldeten Infrastruktur-Probleme wurden durch einen Server-Einbruch verursacht.
Drei Tage nach der letzten Statusmeldung, die die Benutzer weiter im Unklaren ließ, hat Fedora-Projektleiter Paul Frields einen neuen Bericht an die Mailingliste gesendet. Darin nennt er erstmals den Grund für die Ausfälle. Demnach gab es einen Einbruch in einige Fedora-Server, der schnell bemerkt und behandelt wurde.
Nachdem der Einbruch entdeckt war, wurden die betroffenen Systeme vom Netz genommen und analysiert. Danach wurden sie neu installiert, wobei laut Frields auch gleich Updates und Sicherheitsverbesserungen vorgenommen wurden.
Da auch das System zum Signieren der Fedora-Pakete betroffen war, wurde der Untersuchung der Pakete und des Signaturschlüssels besondere Aufmerksamkeit gewidmet. Laut Frields wurden keine Anzeichen für eine Manipulation entdeckt. Das Signaturpasswort sei mit hoher Wahrscheinlichkeit nicht kompromittiert, da es auf keinem Server gespeichert und während der Einbruchszeit auch nicht verwendet worden sei.
Auch die Softwarepakete des Projekts wiesen keine Anzeichen von Manipulationen auf. Dennoch soll in den nächsten Tagen der Signaturschlüssel ausgetauscht werden, was seitens der Benutzer das Importieren eines neuen Schlüssels erfordern dürfte. Einzelheiten dazu sollen später folgen. Das Installieren oder Aktualisieren von Fedora-Paketen ist laut Frields dennoch ohne Risiko möglich.
Auch Server von Red Hat waren von dem Einbruch betroffen. Red Hat hat für die Nutzer der Unternehmens-Distribution eine Warnung und ein Update herausgegeben, in dem erklärt wird, dass an mehreren SSH-Paketen Manipulationen gefunden wurden, die mit dem Update beseitigt werden. Die Manipulation bei Red Hat betraf die Signatur der Pakete. Paul Frields weist darauf hin, dass die Signaturschlüssel von Red Hat, Fedora und »Extra Packages for Enterprise Linux (EPEL)« nicht identisch sind und Probleme mit einem davon keine Auswirkungen auf die beiden anderen haben. Der bereits angekündigte abschließende Bericht über den Vorfall steht noch aus.
