[Ayuda] Boletin-UNAM-CERT-2002-024 "Distribuciones Troyanas de OpenSSH"

[UNAM-CERT <unam-cert en seguridad unam mx>]

-----BEGIN PGP SIGNED MESSAGE-----

      ------------------------------------------------------------------

                                 UNAM-CERT

                    Departamento de Seguridad en Cómputo

                                DGSCA- UNAM

                  Boletín de Seguridad UNAM-CERT 2002-024

                     Distribuciones Troyanas de OpenSSH

     ------------------------------------------------------------------

     El   CERT/UNAM-CERT ,  a través  de  sus  equipos  de respuesta  a
     incidentes de Seguridad en Cómputo, han emitido éste boletín en el
     cual confirman que algunas copias del código fuente del paquete de
     OpenSSH fueron  modificadas por un intruso  y contienen un Caballo
     de Troya.

     Se  recomienda a  los  sitios que  utilizan, redistribuyen,  o son
     mirror del paquete  OpenSSH verificar inmediatamente la integridad
     de su distribución.

     Fecha de
     Liberación:       1 de Agosto de 2002
     Ultima Revisión:  1 de Agosto de 2002
                       CERT/CC y diversos reportes
     Fuente:           de Equipos de Respuesta a
                       Incidentes.


     SISTEMAS AFECTADOS
     ------------------

        * Versiones 3.2.2p1, 3.4 p1 y 3.4 de OpenSSH


     DESCRIPCIÓN
     -----------

     El CERT/UNAM-CERT  ha recibido  información de que  algunas copias
     del código fuente del  paquete OpenSSH han sido modificadas por un
     intruso y  contienen un Caballo de  Troya. El siguiente boletín ha
     sido liberado por el equipo de desarrollo de OpenSSH.

          http://www.openssh.com/txt/trojan.adv

     Los siguientes archivos fueron  modificados para incluir el código
     malicioso:


             openssh-3.4p1.tar.gz
             openssh-3.4.tgz
             openssh-3.2.2p1.tar.gz


     Estos archivos aparentemente fueron colocados en el servidor FTP
     que almacena ftp.openssh.com y ftp.openbsd.org el 30 o 31 de Julio
     de 2002. El equipo de desarrollo de OpenSSH reemplazo las copias
     del Caballo de Troya con el paquete original, versiones no
     comprometidas, el 1 de Agosto de 2002 a las 13:00 Hrs. La copia
     Troyana del código fuente estuvo disponible el tiempo suficiente
     para propagarse a otros sitios mirror de OpenSSH.

     Las versiones Troyanas de OpenSSH contienen código malicioso que
     se ejecuta cuando el software es compilado. Este código hace una
     conexión al puerto 6667/tcp de un servidor remoto fijo. Este
     código puede abrir un shell ejecutándose con el usuario que
     compiló el OpenSSH.


     IMPACTO
     -------

     Un intruso  operando desde la dirección  remota especificada en el
     código  malicioso  puede obtener  acceso  remoto  no autorizado  a
     cualquier  servidor  que  haya  compilado la  versión  Troyana  de
     OpenSSH.  El nivel  de  acceso al  sistema es  el del  usuario que
     compiló el código fuente.


     SOLUCIONES
     ----------

     Se recomienda  a los sitios  que hayan descargado una  copia de la
     distribución   de  OpenSSH   verificar   la  autenticidad   de  su
     distribución,  independientemente  del lugar  de  donde haya  sido
     obtenida. Además, se recomiendas  a los usuarios inspeccionar todo
     el software  que haya  sido descargado del  sitio comprometido. Se
     debe hacer notar que  no es suficiente confiar solo en la fecha de
     creación o  el tamaño del archivo  cuando se intenta determinar si
     es o no una copia del Troyano.

     * Obtener una Versión de OpenSSH

     El sitio de distribución primaria de OpenSSH es:

          http://www.openssh.com/

     Se recomienda a los sitios que son mirror del código fuente de
     OpenSSH verificar la integridad de sus códigos.

     * Verificar los Checksums MD5

     Tu puedes utilizar los siguientes Checksums MD5 para verificar la
     integridad del código fuente de la distribución de OpenSSH.


             459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
             d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
             39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
             9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
             be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig


     Al menos una versión de las distribuciones del Caballo de Troya
     fue reportada, y tiene el siguiente checksum:


             Trojan horse version:

                     3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz


     * Verificar la Firma PGP

     Adicionalmente, las distribuciones de la liberación portable de
     OpenSSH son distribuidas con firmas PGP separadas. Se debe hacer
     notar que las versiones del Troyano no fueron firmadas
     correctamente, e intentar verificar las firmas podría fallar.

     Como una buena práctica de seguridad, el CERT/UNAM-CERT
     recomiendan a los usuarios verificar, cuando sea posible, la
     integridad del software descargado. Para una mayor información
     consulte:

          http://www.cert.org/incident_notes/IN-2001-06.html


     APÉNDICE A. Información de Distribuidores
     -----------------------------------------

     Este   Apéndice   contiene  información   proporcionada  por   los
     distribuidores de éste boletín. Tan pronto como los distribuidores
     reporten nueva información  al CERT/UNAM-CERT, se actualizará esta
     sección. Si un distribuidor  en particular no se encuentra listado
     a continuación, significa que no se han recibido comentarios de su
     parte.

     Conectiva Linux

          Conectiva   Linux  distribuye  openssh-3.4p1   como  una
          actualización de  seguridad. La copia  distribuida es la
          original y  no esta afectada por  éste Troyano. La firma
          digital  contenida en  el paquete siempre  es verificada
          antes de crear paquetes de terceros.

     IBM Corporation

          El sistema operativo AIX, de IBM no es proporcionado con
          OpenSSH;  sin  embargo,  OpenSSH  esta  disponible  para
          instalar en  AIX por  medio del Linux  Affinity Toolkit.
          Los paquetes actualmente disponibles  en el sitio web no
          contienen  código  troyano.  Se  ha verificado  que  los
          paquetes OpenSSH  fueron generados desde paquetes fuente
          limpios de la organización OpenSSH.

     MandrakeSoft

          MandrakeSoft  ha  verificado  que  el código  fuente  de
          openssh-3.4p1  utilizado   para  construir  las  últimas
          actualizaciones  (ref.  MDKSA-2002:040-1)  no  contienen
          este troyano.


     INFORMACIÓN
     -----------

     Éste documento se encuentra disponible en su formato original en
     la siguiente dirección:

          http://www.cert.org/advisories/CA-2002-024.html

     Para  mayor  información  acerca  de  éste  boletín  de  seguridad
     contactar a:

                                 UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Computo
                                DGSCA - UNAM
                    E-Mail : seguridad en seguridad unam mx
                        http://www.unam-cert.unam.mx
                        http://www.seguridad.unam.mx
                        ftp://ftp.seguridad.unam.mx
                             Tel : 56 22 81 69
                             Fax : 56 22 80 43

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBPUnVN3AvLUtwgRsVAQEEeQf/Z4Y0iogmgC1lM5Ts8YG57RTx34oNtgn1
n4Bw3c0LNOKwZM4Gv9P2n6JiGP/34Y0UiK5URJ5mw72Qqh2HNdy8ibEUqi43bzFc
mI3lqXJiOtOuUQ+dVhD0fUFuw2wIa3S3FHTtUod4YjyL2uSX6oSafoY4bHmURpyH
XGzH/pENckYtqorNIqRYalDV8m8LI0e9+Pg2Gidkm3gjJfA5wKjWpPvHA6SdgFal
0ZQozGJ+f5fOFu19wmKGh33zxQzoTgkO77qz3n4Dt9XqslBN1KCa/QgAQ5qOsBuu
xwCeBugWHbopQcPE1bGFeTNcnfs30QcMuk9mkMGLe+1z/qsangHZcg==
=HmY1
-----END PGP SIGNATURE-----


_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/