Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties
Bron: CERT, submitter: LuCarD

Er is een melding binnen gekomen bij CERT, er is een Sendmail versie verspreid waarin een trojan zit verstopt. Sendmail is een veel gebruikte mail server voor Linux en BSD varianten. Tussen 28 september en 6 oktober heeft de ge´nfecteerde versie op de FTP-server van Sendmail gestaan. Iedereen die in die tijd de source heeft gedownload wordt geadviseerd zijn computer te controleren. De trojan openbaart zich alleen tijdens het compileren van Sendmail. Dan wordt er een proces gestart die verbinding maakt met een server, waardoor onbevoegden toegang krijgen tot het systeem. Het lijkt erop dat een systeemherstart de trojan uitschakelt maar daar kan niet op worden vertrouwd, daarom wordt aangeraden om Sendmail opnieuw te downloaden en de download te controlleren door middel van PGP of MD5:

Sendmail.org logoThe Sendmail source distribution is cryptographically signed with the following PGP key:
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002 <sendmail@Sendmail.ORG>
Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45

The Trojan horse copy did not include an updated PGP signature, so attempts to verify its integrity would have failed. The sendmail.org staff has verified that the Trojan horse copies did indeed fail PGP signature checks.

In the absence of PGP, you can use the following MD5 checksums to verify the integrity of your Sendmail source code distribution:
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz
cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z
8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig

Met dank aan The Dude voor de tip.

Moderatie-faq Wijzig weergave

Reacties (38)

>of om ook effe het bestand waar de goede md5 checksum >in staat ook effe te wijzigen..

Precies die pas je natuurlijk ook even aan ... en in de documentatie :)

Zo hebben ze het bij SSH ook gedaan op de openbsd server.

Echter HOE ze het dit keer hebben gedaan vermelt het verhaal niet en dus zou ik de nieuwe builds ook nog maar ff vermeiden :)
Precies die pas je natuurlijk ook even aan ... en in de documentatie
Nog een file waarvan de md5sum veranderd.. vanuit het perspectief van de sysadmin van de geroote FTP gezien dus nog meer kans dat-ie erachter komt dat er iets niet klopt.

Distro's gebruik makende van ports checken van te voren de md5sum. Als een package maintainer nou de mirrors zou checken zou hij zien dat de md5sum's niet hetzelfde waren.

Sowieso, mirrors zijn een effectief wapen tegen deze flauwe grapjes.

Aan de andere kant: langer dan een week voordat iemand erachter kwam? Opmerkelijk.

Maar goed. Ik gebruik sowieso geen MTA die 100% setuid draait.
Maar hoe weet je nou zeker dat op de mirrors wel de goede versie staat, en niet de geinfecteerde versie? :)
Op de huidige manier kun je dat niet weten. Er zal een nieuwe techniek bedacht moeten worden. Ik hoopop een decentralisatie-manier zoals ik al aangaf met die mirrors. Dan kun je met elkaar vergelijken. Dus geen centrale md5sum keyserver.

Hier loopt een interessante discussie erover:
http://www.deadly.org/article.php3?sid=20021009125325
Je kunt de download van de mirror checken met de md5 van de originele site
Maar goed. Ik gebruik sowieso geen MTA die 100% setuid draait.
dan heb je niet opgelet, sendmail = setgid naar een less priv. user. behalve de daemon die alles aanpakt, die wordt gestart als Root, Draait als Root, en moet altijd als root draaien. (misschien dat ie along the way nog wat onnodige privs dropt, maar dat lijkt me sterk aangezien de MTA ook userdirs moet checken voor .forwards, .procmailrc's, etc)
De versie die je via HTTP kan downloaden was niet besmet met de trojan code.
Het is overigens ALTIJD aan te raden om te controleren of software die je download wel een correcte MD5 heeft.
Het is wel opvallend dat dit zo kort gebeurt nadat het met SSH is gebeurt... zou hier eenzelfde groepering achter zitten die *Nix in een kwaad daglicht wil stellen ?
Jammer dat er geen "+1,paranoia theorie" mod optie bestaat. ;)

Jammer dat ze het proberen om trojans te verstoppen. Maar het is een goede waarschuwing.
Jammer dat ze proberen trojans te verstoppen? Als ze het niet zouden verstoppen zou het geen trojan heten...
Dan zou het gewoon zoiets zijn: klik hier om je systeem beschikbaar te stellen aan mensen die graag alles kapot maken...
Wie weet is het inderdaad een groepering die *Nix in het kwade daglicht wil stellen. Maar wel apart dat er dan dus weer een server blijkbaar is gekraakt. Of het moet iemand zijn geweest met toegang tot die server...
Als het een groepering is die *nix in een kwaad daglicht wil zetten, dan hebben ze dus blijkbaar gelijk, want als *nix zo goed was, zouden ze nooit die versie van sendmail op de ftp kunnen zetten... :)
hmm
Of je controleerd zoals het hoort de checksums.

Iets wat de grote concurrent van *nix niet eens heeft }>

In elk geval, ftp server kraken is niet zo moeilijk als de beheerder vvan een ftp site niet oplet of zijn versie gevoelig is voor exploits. Of bijv simpel weg geen goed wachtwoord gebruikt.
Even voor de n00bs voordat ze beginnen te gillen:

Als je een "niet from the ground up distro zoals bv Gentoo" gebruikt zoals Suse, Mandrake of Redhat hoef je je geen zorgen te maken.

Daarin is sendmail al gecompileerd. Een aangezien het alleen in een compile gebeurt terwijl je ook nog eens een verkeerde tarball hebt (Gentoo checked trouwens of de MD5 klopt en hun ebuild packages zullen echt wel schoon zijn).

Dus geen zorgen. Je kan alleen een probleem krijgen als je sendmail vanaf de "echte" source download en compiled EN je bent zo bijdehand geweest om de integriteit van je download niet te checken.
Zal ik me met Gentoo maar vast zorgen maken dan? :+

Latest version available: 8.12.6
Latest version installed: [ Not Installed ]
Homepage: http://www.sendmail.org
Description: Widely-used Mail Transport Agent (MTA).

Gelukkig gebruik ik geen lokale mailserver :)
Bevat de kleinere variant Exim die ook dan? Die is toch ook wel deels daarop gebasseerd? Er zal wel een update klaar liggen dan :)
Nee exim is een andere mail daemon.
Sendmail was/is de populairste mail daemon en veel programma's gebruiken usr/sbin/sendmail voor emails te versturen. Andere mail daemons leveren meestal een "sendmail" compatible exec mee die ze dan ook sendmail noemen voor het gemak.

edit: je kan ook gewoon ff wat text lezen op www.exim.org
Waarom staat er nergens bij met welke computer er dan verbinding wordt gemaakt. Want dan heb je misschien wel snel de dader te pakken.
als je zo slim bent dat je het voor elkaar gekregen hebt om een trojen in sendmail te krijgen op de officiele download site zal je vast wel niet zo dom zijn om die trojan met jou eigen computer of een computer die traceerbaar is naar jou te gebruiken.
of om ook effe het bestand waar de goede md5 checksum in staat ook effe te wijzigen..
En dat was dus net niet het geval.
The Trojan horse copy did not include an updated PGP signature, so attempts to verify its integrity would have failed. The sendmail.org staff has verified that the Trojan horse copies did indeed fail PGP signature checks.
Een md5 sum is bijna niet te wijzigen.Dit is een kans van 1 op een miljoen ofzo!
Dus die zou bijna 100% wel anders zijn.....
Right.

Je weet blijkbaar niet hoe md5 werkt, de md5sums kan iedereen berekenen en dan komt er precies hetzelfde uit. Dus omdat degene die de trojan verspreid heeft ook access had tot de ftp server kan die de md5sums ook wel overschreven hebben.

Het enige wat echt veilig is, is een signature bij je md5's zetten en die controleren... het probleem is alleen... je controleert het met een public key waarvan je ook niet weet of deze wel goed is... je moet dus altijd aannames doen over de veiligheid van iets.

Een mega web of trust zou dit kunnen oplossen, maarja dat is een utopie. Het andere probleem is natuurlijk dat de developer z'n secret key rond laat slingeren, en dan is het ook nix meer waard.
Wat hij (onbewust) probeert te zeggen is dat het vrijwel onmogelijk is de source te wijzigen terwijl de md5 gelijk blijft. Bij crc is dit niet onmogelijk.
Van de public key kun je aannemen dat deze juist is. Je haalt deze bv op van een public key server en voegt deze toe aan je public keyring. De eerste keer dat je een sendmail tarball ophaalt weet je niet zeker of er een troyan in zit. Gaat het goed (maw er komt geen ellende enige weken later zoals nu) dan kun je er vanuit gaan dat je key goed was. Bij alle volgende downloads check je gewoon weer met die key (ik ga er ff van uit dat alle tarballs met dezelfde key worden ondertekend).

En sja... als de developer zijn secret key en passphrase laat slingeren... dan houdt het op.
Je vraagt je sterk af hoe die versie uberhaupt op de FTP server terecht is gekomen... :D
op dezelfde manier als bij ssh, irssi, etc.. gebeurd is... het begint een trend te worden
Reactie op ( iemand die zijn post weer heeft verwijderd :) ):

Gepost door RetepV donderdag 10 oktober 2002 - 11:26 Score: 1
Sja, en weer worden de mannen van de jongens gescheiden. De mensen die weten waar ze mee bezig zijn hebben natuurlijk de MD5 checksum gecontroleerd en zijn er niet ingetrapt. De overgebleven sukkels niet en die zitten nu met een trojan.

Je zou dit soort dingen eigenlijk gewoon niet bekend moeten maken, dan zouden die sukkels allemaal door de mand vallen en was het internet al lang een veiliger plek geweest.

-----------------------------------------------------------------------------
EZZ:

En weer iemand die als man is geboren.

Linux gebruikers die deze houding aannemen zijn alleen maar bang dat er een dag komt dat niemand meer opkijkt tegen een Linux gebruiker.

Wordt wakker sukkel... Linux moet in zo veel mogelijk huishoudens gaan draaien als NOS. Dus je kunt beter iemand helpen door hem/haar te vertellen hoe je deze MD5 check uitvoerd, dan iemand te kleineren omdat hij/zij dit niet weet.
juist, een echte opensource/linux/xBSD aanhanger helpt, net zoals hij vroeger hulp heeft moeten inroepen (niemand wordt geboren met root op z'n voorhoofd getatooed)

so kids, be nice, and lets do some opensource :)
Met gentoo hoef je je ook geen zorgen te maken hoor....

die sjeckt namelijk de MD5 zodra hij de package gedowned heeft....

(gentoo rules :Y))
Ohja? Hoe weet je dat zo zeker? Als ik schade aan wilde richten zou ik het ontzettend gaaf vinden als een Gentoo developer mijn getrojanede Sendmail zou porten. Want dan compiled hij 'm ook omdat hij 'm test. Dus jij bent dan waarschijnlijk wel secure, die Gentoo developer niet. En of dat erg voor jou is. Och... lijkt mij vrij duidelijker dat zo'n belangrijk persoon een zwakke schakel kan zijn..

Voorbeeldje: bakje van een OpenBSD developer is ook eerst geroot een tijdje geleden. Apache of SSH exploit weet niet meer wat het was. Anyways, op die manier hadden de crackers wel toegang op cvs.openbsd.org verschaft (el8)
zou hier eenzelfde groepering achter zitten die *Nix in een kwaad daglicht wil stellen ?
Bill Gates ontmaskerd :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True