Software::Distributionen::Debian
Debian-Server kompromittiert
Am Mittwochmorgen wurde ein Einbruch in einen der Server des Debian-Projektes bemerkt, der zu einem vorübergehenden Abschalten des Webservers führte.
Nachdem der Einbruch entdeckt war, wurde der betroffene Rechner gluck.debian.org vom Netz genommen und für eine Neuinstallation vorbereitet. Aus Sicherheitsgründen wurden die anderen Server des Debian-Projektes zunächst für alle Benutzer außer den Administratoren gesperrt. Sie werden nach einer Überprüfung nach und nach wieder freigegeben. Infolge der Maßnahmen war am Mittwochmorgen der Hauptserver des Projektes, www.debian.org, einige Stunden nicht erreichbar.
Der Vorfall wird nun untersucht, um herauszufinden, auf welche Weise die Kompromittierung zustande kam. Dies umfasst eine Analyse des Servers, Sicherung des Zustandes seiner Festplatten und anschließende Neuinstallation.
Bis gluck.debian.org wieder verfügbar ist, wird eine Reihe von Diensten nicht nutzbar sein, darunter cvs, ddtp, lintian, people, popcon, planet, ports und release. Die Untersuchung des Vorfalls kann einige Zeit dauern. Die Systemverwalter wollen nähere Informationen geben, sobald sie selbst mehr wissen. Einige Leute vermuten, dass die Sicherheitslücke CVE-2006-2451 eine Rolle gespielt haben könnte. Der in Debian Sarge ausgelieferte Kernel 2.6.8 weist diese Lücke nicht auf. Auf gluck soll jedoch ein anderer Kernel im Einsatz gewesen sein.
Da gluck.debian.org mit dem Debian-Archiv nichts zu tun hat, kann man ein Kompromittierung von Softwarepaketen weitgehend ausschließen. Sie würden auch anhand der geänderten MD5-Summen auffallen. Die Liste der MD5-Summen kann nicht gefälscht werden, da sie mit PGP signiert ist. Diese Summen werden bei der Paketinstallation automatisch von aktuellen Versionen von apt und aptitude geprüft.
Bereits im November 2003 hatte es einen Einbruch in die Server des Debian-Projektes gegeben. Eine anschließende Untersuchung stellte fest, dass der Einbruch durch ein ausspioniertes Benutzer-Passwort möglich wurde. Danach konnte der Einbrecher sich durch einen Fehler im Kernel Root-Rechte verschaffen.
