[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Cómputo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2002-024 Distribuciones Troyanas de OpenSSH ------------------------------------------------------------------ El CERT/UNAM-CERT , a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual confirman que algunas copias del código fuente del paquete de OpenSSH fueron modificadas por un intruso y contienen un Caballo de Troya. Se recomienda a los sitios que utilizan, redistribuyen, o son mirror del paquete OpenSSH verificar inmediatamente la integridad de su distribución. Fecha de Liberación: 1 de Agosto de 2002 Ultima Revisión: 1 de Agosto de 2002 CERT/CC y diversos reportes Fuente: de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ------------------ * Versiones 3.2.2p1, 3.4 p1 y 3.4 de OpenSSH DESCRIPCIÓN ----------- El CERT/UNAM-CERT ha recibido información de que algunas copias del código fuente del paquete OpenSSH han sido modificadas por un intruso y contienen un Caballo de Troya. El siguiente boletín ha sido liberado por el equipo de desarrollo de OpenSSH. http://www.openssh.com/txt/trojan.adv Los siguientes archivos fueron modificados para incluir el código malicioso: openssh-3.4p1.tar.gz openssh-3.4.tgz openssh-3.2.2p1.tar.gz Estos archivos aparentemente fueron colocados en el servidor FTP que almacena ftp.openssh.com y ftp.openbsd.org el 30 o 31 de Julio de 2002. El equipo de desarrollo de OpenSSH reemplazo las copias del Caballo de Troya con el paquete original, versiones no comprometidas, el 1 de Agosto de 2002 a las 13:00 Hrs. La copia Troyana del código fuente estuvo disponible el tiempo suficiente para propagarse a otros sitios mirror de OpenSSH. Las versiones Troyanas de OpenSSH contienen código malicioso que se ejecuta cuando el software es compilado. Este código hace una conexión al puerto 6667/tcp de un servidor remoto fijo. Este código puede abrir un shell ejecutándose con el usuario que compiló el OpenSSH. IMPACTO ------- Un intruso operando desde la dirección remota especificada en el código malicioso puede obtener acceso remoto no autorizado a cualquier servidor que haya compilado la versión Troyana de OpenSSH. El nivel de acceso al sistema es el del usuario que compiló el código fuente. SOLUCIONES ---------- Se recomienda a los sitios que hayan descargado una copia de la distribución de OpenSSH verificar la autenticidad de su distribución, independientemente del lugar de donde haya sido obtenida. Además, se recomiendas a los usuarios inspeccionar todo el software que haya sido descargado del sitio comprometido. Se debe hacer notar que no es suficiente confiar solo en la fecha de creación o el tamaño del archivo cuando se intenta determinar si es o no una copia del Troyano. * Obtener una Versión de OpenSSH El sitio de distribución primaria de OpenSSH es: http://www.openssh.com/ Se recomienda a los sitios que son mirror del código fuente de OpenSSH verificar la integridad de sus códigos. * Verificar los Checksums MD5 Tu puedes utilizar los siguientes Checksums MD5 para verificar la integridad del código fuente de la distribución de OpenSSH. 459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig 39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz 9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig Al menos una versión de las distribuciones del Caballo de Troya fue reportada, y tiene el siguiente checksum: Trojan horse version: 3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz * Verificar la Firma PGP Adicionalmente, las distribuciones de la liberación portable de OpenSSH son distribuidas con firmas PGP separadas. Se debe hacer notar que las versiones del Troyano no fueron firmadas correctamente, e intentar verificar las firmas podría fallar. Como una buena práctica de seguridad, el CERT/UNAM-CERT recomiendan a los usuarios verificar, cuando sea posible, la integridad del software descargado. Para una mayor información consulte: http://www.cert.org/incident_notes/IN-2001-06.html APÉNDICE A. Información de Distribuidores ----------------------------------------- Este Apéndice contiene información proporcionada por los distribuidores de éste boletín. Tan pronto como los distribuidores reporten nueva información al CERT/UNAM-CERT, se actualizará esta sección. Si un distribuidor en particular no se encuentra listado a continuación, significa que no se han recibido comentarios de su parte. Conectiva Linux Conectiva Linux distribuye openssh-3.4p1 como una actualización de seguridad. La copia distribuida es la original y no esta afectada por éste Troyano. La firma digital contenida en el paquete siempre es verificada antes de crear paquetes de terceros. IBM Corporation El sistema operativo AIX, de IBM no es proporcionado con OpenSSH; sin embargo, OpenSSH esta disponible para instalar en AIX por medio del Linux Affinity Toolkit. Los paquetes actualmente disponibles en el sitio web no contienen código troyano. Se ha verificado que los paquetes OpenSSH fueron generados desde paquetes fuente limpios de la organización OpenSSH. MandrakeSoft MandrakeSoft ha verificado que el código fuente de openssh-3.4p1 utilizado para construir las últimas actualizaciones (ref. MDKSA-2002:040-1) no contienen este troyano. INFORMACIÓN ----------- Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2002-024.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPUnVN3AvLUtwgRsVAQEEeQf/Z4Y0iogmgC1lM5Ts8YG57RTx34oNtgn1 n4Bw3c0LNOKwZM4Gv9P2n6JiGP/34Y0UiK5URJ5mw72Qqh2HNdy8ibEUqi43bzFc mI3lqXJiOtOuUQ+dVhD0fUFuw2wIa3S3FHTtUod4YjyL2uSX6oSafoY4bHmURpyH XGzH/pENckYtqorNIqRYalDV8m8LI0e9+Pg2Gidkm3gjJfA5wKjWpPvHA6SdgFal 0ZQozGJ+f5fOFu19wmKGh33zxQzoTgkO77qz3n4Dt9XqslBN1KCa/QgAQ5qOsBuu xwCeBugWHbopQcPE1bGFeTNcnfs30QcMuk9mkMGLe+1z/qsangHZcg== =HmY1 -----END PGP SIGNATURE----- _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/