Fedora in Red Hat strežniki kompromitirani!

Po dobrem tednu ugibanj, namigovanji in špekulacij je Fedora Project team končno objavil uradno obvestilo v katerem je navedeno, da so bili njihovi strežniki kompromitirani. Čeprav so pri Fedori prepričani, da neznanim storilcem ni uspelo pridobiti t.i. "package signing key", so se vseeno odločili, da bodo ključ zamenjali. Integriteta arhivov (binary packages) naj ne bi bila spremenjena.

Vdor v strežnike pa so potrdili tudi pri krovni družbi Red Hat, Inc., vendar je v tem primeru napadalcem uspelo uporabiti pridobljeni "signing key" (ta je seveda drugačen od tistega, ki ga uporabljajo pri Fedori) in podpisati nekaj modificiranih (beri: backdoored) OpenSSH arhivov za RHEL4/RHEL5 sisteme. Pri RH zagotavljajo, da ni razloga za paniko, saj je "rizična skupina" omejena le na uporabnike, ki pridobivajo arhive z drugih lokacij in ne preko Red Hat Networka. Za vsak primer pa so pri RH objavili tudi shell script s katerim lahko uporabniki preverijo integriteto in legitimnost OpenSSH arhiva.

Moral of the story: sometimes you're in security circus whether you like it or not.