» »

Vdor na Debianov strežnik

Vdor na Debianov strežnik

Slo-Tech - 12. julija je bil kompromitiran eden izmed Debianovih strežnikov, in sicer ( gluck.debian.org).

Po zadnjih podatkih naj bi napadalec za dostop uporabil ukraden uporabniški račun nekega debianovega razvijalca, za povečanje (elevacijo) privilegijev pa je uporabil prctl() kernel ranljivost. Administratorji zagotavljajo, da napadalec ni povzročil večje škode saj je bil vdor hitro odkrit in saniran.

Več informacij na debianovem poštnem seznamu, oziroma med novicami.

38 komentarjev

BoLhCa ::

Be afraid, be very afraid:D

Folk ma pa res čudne "fetiše":))

Roadkill ::

Jah vdor v tak server ti blazno poveča virtualnega tiča™. :)

Poleg tega pa precej diskreditira celoten linux comunity.
"Čudno" je, da si taka skupina ne uredi boljšega password policyja. Kak crypted VPN dostop ali kaj podobnega. Poleg tega so pri več userjih odkrili trivalne passworde, kar med drugim pomeni, da ima nekdo dostop do baze s passwordi, kar je tudi zastrašujoče.

Da ne omenjam, da se zdi nesmiselno imeti razliko med user in root dostopom, če imaš ranljivost, ki ti omogoča prosto preklapljanje med tema dvema.

No. Security je zdržal vsaj do te mere, da umer vseeno ni imel dostopa do Debian repositoryjev in tako ni mogel plantati kakega rootkita v produkcijsko verzijo.
Ü

Nerdor ::

@Roadkill: problem je v temu, da delujejo prostovoljno in zato se rabi denar. Če bi imeli večje donacije, tega pač nebi bilo. Security košta. :\
Smisel mojega posta je čas == denar. Če bi imeli vzdrževalci več denarja, bi imeli več časa se ukvarjati s kvaliteto passwordov in podobno. Sej so začasno disejblali passworde razvijalcem, ki so označeni kot weak. Tudi to je dober ukrep.
... for lifetime!

Zgodovina sprememb…

  • spremenil: Nerdor ()

darkolord ::

Security košta.

Ha ha. Tole pa ni glih dober "izgovor"

jlpktnst ::

Mogoče ne, bi bilo pa grozno neumno da bi se razvijalci 95% ukvarjali z varnostjo strežnika in 5% z razvojem.

poweroff ::

No ja. Debian slovi po varnosti. Dejansko se zlorabam ne moreš izogniti, lahko pa zagotoviš, da jih boš zaznal in odpravil v čimvečjem odstoptu. Debianovcem to presenetljivo dobro uspeva.
sudo poweroff

krho ::

mnja. enako sceno so imeli na sourceforge...
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

jimmi ::

Mogoče pa windows na serverju laufajo..

Looooooka ::

ce bi se pa 100% z delom ukvarjal pa pl tud exploit ne bi delu po tistem ko je clovk ze dobu dostop do navadnega uporabnika.

roscha ::

Ja Lookavi. Res je. Na winblowzu je NEMOGOČE ukrasti user passwd,
bognedaj, da bi ta reč imela kako luknjo preko katere je možen exploit.

klemen22 ::

Hm šment, da se to na Linuxu dogodi. Aja pa geslo ni bilo ukradeno ampak je bilo verjetno pokrepljeno z veliko vsoto denarja.
Poglejte folk isto pri kakšnih kriptiranih sporočilih z enim 192 bitnim ključem. Brute force tukaj ne pride v poštev saj bi trajalo lahko v najslabšem primeru precej milijonov let. Pač ko se ugotavlja kakšno geslo je pač najlažja varianta (in najhitrejša) to, da se password preprosto ukrade/kupi od kakšnega kilavega admina oz. nekoga ki ima pač pristojnosti. TO je pač ustaljena praksa in tistim katerim pride poštev tako vdiranje tudi najpreprostejša.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

denial ::

Na linuxu se lahko zgodi še marsikaj drugega... 0-day. Zanimivo bo videti koliko časa bo linux-community potreboval, da zakrpa tole :)

Off topic:
Ranljivosti v Oknih seveda nihče več ne šteje... tokrat zopet Pisarna. Glede na dejstvo, da bo popravek na voljo (najverjetneje) z naslednjim mesečnim ciklom, bo tukaj interesantno videti koliko časa bo security-community potreboval za objavo zaneslijvega exploita :)
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

MUC ::

Je že zakrpano .. 2.6.17.5 kernel je out!

klemen22 ::

Je že zakrpano .. 2.6.17.5 kernel je out!

Vav danes nekaj geekov ni spalo.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

roscha ::

Vav, mogoče so pa fix naredil Američani, ki so imeli ravno POPOLDNE čas? :D


p.s. Nisem šel ŠE gledat changeloga. :8)

TESKAn ::

Hecno s temi kerneli...če ga je treba za vsak resnejši bug nadgradit. Potem ti pa še grafična jamra, da je napačen kernel in gremo jovo na novo recompileat gonilnik. Se mi na oknih še ni zgodilo, da bi moral zaradi okenskega popravka znova nalagat gonilnike za grafično:).
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

kopernik ::

Itak, da ga je treba, če je exploit v njem samem.

TESKAn ::

In potem moreš zaradi enega exploita znova še najmanj gonilnik za grafično recompileat. V oknih tega ni treba.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

kopernik ::

Huh, a je to res ? npr. za nvidio nimaš kaj recompilat ker ne dajo izvorne kode.

TESKAn ::

Si ti zihr? V LJ imam scientific linux in že v prvo je bila procedura dolga:
- ugotovi, da hoče bit v runlevel3, da inštaliraš. Ok, poiščem, nastavim.
- ugotovi, da nima precompileanih gonilnikov, pogleda na net, ne dobi in potem compilea za moje jedro.

Vse v redu, potem pa čez nekaj časa pride ven novo jedro, verzija namesto x.xx.01 je x.xx.02 :). Si mislim kul, inštaliram, kot prvo mi sedaj daje na izbiro dve jedri, ki ju lahko zaženem. Ok, zaženem novo jedro in ugotovim, da nekako nima gonilnikov za grafično. No, pa gremo zgornjo proceduro spet znova:).

Veliko veselja, skratka, če hočeš imeti up - to - date jedro.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

64202 ::

Človek se vpraša, kako težko bi bilo binarnežem narest (in drugim nestabilnežem), da ob butu pogleda, ali se je kernel zamenjal, in se zbuilda. Znanstvena fantastika, a? :D
I am NaN, I am a free man!

roscha ::

Ali pa lepo prekopiraš star modul pod novo jedro in mir.

cp /lib/modules/verzija-kernela1/nvidia/* /lib/modules/verzija-kernela2/nvidia/* (ČE ZELO POENOSTAVIM)

Pri menjavah 2.6.xx.yy, se ob upgradu yy+n ne spremeni nič, več ali manj bugfixi, tako da ni potrebe na novo celega postopka terat.

TESKAn ::

Point je, da kakorkoli gledaš mi na oknih po inštalaciji popravka ni treba drugega, kot ponovno zagnat računalnik.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

BigWhale ::

No, zaprt binarni driver treba na novo instalirat v redkih primerih, kar pa ni krivda platforme ampak proizvajalca driverja.

Linux pa treba restartat samo pri kernel popravkih, docim Windows Update meni v sluzbi zatezi, da moram rebootat po vsakem popravku, ki ga namesti. :)

TESKAn ::

BW, ti že mogoče, kaj pa ostala raja, ki nima ne časa ne volje brskat po internetu za ukazi, kako spravit linux v runlevel3 brez reboota?
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

Pithlit ::

Kdor uporablja binarni distro nima kaj na novo prevajat.

Kdor uporablja source distro mora pa sam vedet kaj dela.

Any more stupid questions?
Life is as complicated as we make it...

TESKAn ::

Torej praviš, da če se uporabniku ne da zafrkavat z xyz distroji in razlikami med le - temi, naj ostane na oknih?
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

kopernik ::

Saj, če uporabljaš npr. ubuntu imaš tudi dokaj preprost vmesnik za update, ki te tudi opozarja o posodobitvah.

Pithlit ::

... pravim to kar ti nočeš razumet.

Če primerjaš binarni OS (Windows) s konkurenco... potem jo primerjaj z binarnimi distribucijami. Ne pa s source distribucijami. Me res zanima kolikokrat moraš windowse rebootat po prevodu njihovega novega kernela. Aja... nimaš izvorne kode...

Binarne distribucije uporabljajo binarne (torej že prevedene) pakete. Med drugim tudi kernel in vse protrebne driverje. Kaj imaš tu za prevajat mi ni jasno.

Sam delaš neke nejasne razlike med uporabniki. Iz tvoje izjave "kaj pa ostala raja, ki nima ne časa ne volje brskat po internetu za ukazi," bi ti že moralo biti nekaj jasno. Kdor nima časa brskati in iskati stvari po internetu bo uporabljal binarno distribucijo in mu posledično pač za marsikatero stvar sploh ni potrebno skrbeti. Še več... Ubuntu (binarna distribucija, ki za osnovo uporablja Debian, pa tudi Debian sam in vsi njegovi derivati, ter velika večina ostalih distribucij) ima centralni repositorij z vsemi paketi ki so na voljo. Uporabnik jih preprosto namesti z enim klikom v GUI okencu. Isto je s prenekaterimi source distribucijami (Gentoo, Archlinux...), le da tu precej časa vzame samo prevajanje izvorne kode. Iz mojih lastnih izkušenj ti lahko povem, da je precej več iskanja po internetu ter tekanja po ulicah (ali pa vožnja iz periferije v večja mesta), na Win platformi. Predvsem za to rajo ki jo omenjaš. Vse to ti lahko potrdi vsak, ki se je z linux-om ukvarjal mal več kot kak vikend. Oziroma se s tem še vedno ukvarja.

Wanna play stupid some more?
Life is as complicated as we make it...

TESKAn ::

Ok, ne bom več:).
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

Matevžk ::

Vse to ti lahko potrdi vsak, ki se je z linux-om ukvarjal mal več kot kak vikend.

Jaz, recimo :)). Windowsi se MSfanboyem zdijo tako enostavni, ker preždijo ob njih veliko dni in noči. Nekateri isto delamo ob Linuxu in se nam ta zdi enostaven, razen če se spuščaš v kakšne globoke vode ... take, za katere moraš na Windowsih že programirati in poznati pol sistemskega APIja.
lp, Matevžk

Jst ::

Hmmm. Suse ima pod popravki kompilan kernel in po posodobitvi ti graficna oz. driverji za graficno cudezno se vedno delujejo na enak nacin kot prej.


---

Samo toliko, da ne bo nejasnosti, da treba na novo instalirati driverje, ce je na voljo nov kernel oz popravek zanj.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

64202 ::

I am NaN, I am a free man!

WhiteAngel ::

Ubuntu je dan po exploitu že dal nov kernel ven v dapper-security repozitorij. Prav tako nadgradil modules-restricted (binarni gonilniki za grafične itd.). Dela bp.

Aja, modulov za grafično prevedenih pod "nekim" prevajalnikom za "neko" jedro se ponavadi ne da enostavno "skopirati" v drugo jedro. Lahko daš sicer modprobe --force ime_modula, ki ti ignorira razliko verzij jedra, ampak se (vsaj meni) velikokrat pojavi segmentation fault potem. Tako da, ja, modul za fglrx (ATI) al pa nvidia je treba prevajat vsakič, ko menjaš verzijo jedra. Če imaš pametno distribucijo, ti module že vključijo zraven jedra in oni skrbijo za ažurnost.

WhiteAngel ::

Aja, mislil sem na original Ati in nVidia gonilnike (3d pospešene). Za nepospešeno verzijo pa X-i itak že delajo vse out-of-the-box na kateri koli nvidia/ati kartici. Da ne bo kakšnega nesporazuma :).

denial ::

Kernel 2.6.17.6 je zunaj. Elegantnejši patch za /proc ranljivost...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

HardFu ::

Pa napiše se komprimiran in ne "kompromitiran"
http://codeable.io

denial ::

Kaj res?

komprimiran - stisnjen, potlačen
kompromitiran - osramočen, ob dober glas

Slovar tujk ve več...
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Java v GNOME v Iceweasel

Oddelek: Programska oprema
101260 (1260) dunda
»

Razvijalci namerno zavlačevali razvoj Debiana 4.0

Oddelek: Novice / Ostala programska oprema
205462 (3693) poweroff
»

Debian ali Suse 9.1?

Oddelek: Operacijski sistemi
101229 (1103) Dusan_83
»

Debian bo dobil nov namestitveni program

Oddelek: Novice / Ostala programska oprema
62332 (2332) Phoebus
»

Linux varnostne luknje

Oddelek: Operacijski sistemi
302450 (2203) BigWhale

Več podobnih tem