Eddig ismeretlen biztonsági rést használtak a Debian Projekt szervereinek feltöréséhez

[Debian.org, ZDNet, HWSW] A Debian Projekt tegnap közzétett biztonsági figyelmeztetéséből kiderül, hogy a projekt szervereinek alig két hete történt feltörését egy eddig gyakorlatilag ismeretlen biztonsági rés kihasználásával sikerült véghezvinnie/véghezvinniük a támadónak/támadóknak. Az ügyben vizsgálódó biztonsági szakemberek már korábban is gyanították, hogy a feltörés egy valószínűleg még javítatlan, helyi root exploit (rendszergazdai jogkörhöz juttató, ám közvetlenül a hálózaton keresztül nem kihasználható biztonsági hiba) következménye lehet.

Amint arról korábban már beszámoltunk, csaknem két héttel ezelőtt, a Debian GNU/Linux 3.0 (Woody) második javítókiadásának megjelenésével körülbelül egy időben több, a Debian Projekthez tartozó szervert is feltörtek. A támadás érintette a Debian hibakövető rendszerét, a levelezőlistákat, a projekt webszerverét, CVS-szerverét, sőt a biztonsági frissítések számára felállított rendszert is. A támadó vagy támadók összesen négy szervergépre (gluck, klecker, master és a murphy.debian.org) jutottak be. Az eset után szinte azonnal elkezdték az anyagok ellenőrzését és a nyomozást.

Miután a Debian Projekt egyik munkatársának (Robert van der Meulen) sikerült visszakódolnia a hiba kihasználását lehetővé tévő bináris állományt, a Red Hat és a SuSE kernelfejlesztői, illetve biztonsági szakemberei által végzett további vizsgálatok gyorsan kiderítették, hogy a probléma okozója egy eddig javítatlan integer túlcsordulási hiba volt az egyik rendszerhívásban. A hiba kihasználásával rendszergazdai jogok szerezhetők, a problémára a hírek szerint még szeptemberben rámutatott az egyik neves kernelfejlesztő, Andrew Morton is, ám akkor már túl késő volt ahhoz, hogy a javítás bekerüljön a 2.4.22-es kernelbe. A probléma tehát nem Debian-specifikus, a nagyobb disztribúciókhoz biztonsági frissítés formájában már le is tölthető a javított kernel.