В дистрибутиве Sendmail обнаружен троянец

09.10.2002 | 15:27
В исходные коды популярнейшего почтового дистрибутива Sendmail злоумышленники внедрили троянца. 8 октября Координационный центр CERT выпустил бюллетень по безопасности CA-2002-28 с соответствующим предупреждением.

Были изменены файлы sendmail.8.12.6.tar.Z и sendmail.8.12.6.tar.gz, расположенные на сервере ftp.sendmail.org с 28-го сентября. Команда разработчиков отключила скомпрометированный FTP сервер 6-го октября.

Троянец запускается в процессе компоновки дистрибутива. Зловредный код порождает процесс, который коннектится к удаленному серверу по 6667/tcp порту. Этот процесс позволяет нарушителю открывать шелл, работающий в контексте пользователя, который компонует пакет Sendmail. Не обнаружено подтверждения того, что злонамеренный процесс запускается вновь после перезагрузки машины.

Важно отметить, что компрометируется именно та машина, которая используется для компиляции и компоновки программы Sendmail, но не та, где запущен демон Sendmail.

Настоятельно рекомендуется проверить аутентичность и целостность пакета Sendmail с использованием цифровой подписи, независимо от источника его получения. Версия с троянцем не пройдет проверки цифровой подписи. При отсутствии PGP, можно проверить контрольную сумму MD5 пакета. Подробности доступны в оригинальном бюллетене CERT.

Текст бюллетеня: http://www.cert.org/advisories/CA-2002-28.html.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.cert.org
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код