Sendmail 8.12.6 bevat een Trojan

Er is een melding binnen gekomen bij CERT, er is een Sendmail versie verspreid waarin een trojan zit verstopt. Sendmail is een veel gebruikte mail server voor Linux en BSD varianten. Tussen 28 september en 6 oktober heeft de geïnfecteerde versie op de FTP-server van Sendmail gestaan. Iedereen die in die tijd de source heeft gedownload wordt geadviseerd zijn computer te controleren. De trojan openbaart zich alleen tijdens het compileren van Sendmail. Dan wordt er een proces gestart die verbinding maakt met een server, waardoor onbevoegden toegang krijgen tot het systeem. Het lijkt erop dat een systeemherstart de trojan uitschakelt maar daar kan niet op worden vertrouwd, daarom wordt aangeraden om Sendmail opnieuw te downloaden en de download te controlleren door middel van PGP of MD5:

Sendmail.org logoThe Sendmail source distribution is cryptographically signed with the following PGP key:
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002 <sendmail@Sendmail.ORG>
Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45

The Trojan horse copy did not include an updated PGP signature, so attempts to verify its integrity would have failed. The sendmail.org staff has verified that the Trojan horse copies did indeed fail PGP signature checks.

In the absence of PGP, you can use the following MD5 checksums to verify the integrity of your Sendmail source code distribution:
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz
cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z
8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig

Met dank aan Verwijderd voor de tip.

Door Arjan Seesing

Nieuwsposter

Feedback • 09-10-2002 22:41
38 • submitter: LuCarD

09-10-2002 • 22:41

38

Submitter: LuCarD

Bron: CERT

Lees meer

CERT waarschuwt voor kritieke fout in Sendmail
CERT waarschuwt voor kritieke fout in Sendmail Nieuws van 4 maart 2003
Gevaarlijk Bugbear virus op komst
Gevaarlijk Bugbear virus op komst Nieuws van 1 oktober 2002
Trojan wordt verspreid via OpenBSD.org
Trojan wordt verspreid via OpenBSD.org Nieuws van 1 augustus 2002
De werking van anti-virus software uitgelegd
De werking van anti-virus software uitgelegd Nieuws van 4 juli 2002
Virus vermomd als Microsoft security bulletin
Virus vermomd als Microsoft security bulletin Nieuws van 12 maart 2002
Nieuwe Linux trojan ontdekt
Nieuwe Linux trojan ontdekt Nieuws van 8 september 2001
Meer producten en artikelen
Software

Reacties (38)

-Moderatie-faq
38
36
28
9
1
0
Wijzig sortering
Verwijderd 10 oktober 2002 00:58
>of om ook effe het bestand waar de goede md5 checksum >in staat ook effe te wijzigen..

Precies die pas je natuurlijk ook even aan ... en in de documentatie :)

Zo hebben ze het bij SSH ook gedaan op de openbsd server.

Echter HOE ze het dit keer hebben gedaan vermelt het verhaal niet en dus zou ik de nieuwe builds ook nog maar ff vermeiden :)
Verwijderd @Verwijderd10 oktober 2002 05:47
Precies die pas je natuurlijk ook even aan ... en in de documentatie
Nog een file waarvan de md5sum veranderd.. vanuit het perspectief van de sysadmin van de geroote FTP gezien dus nog meer kans dat-ie erachter komt dat er iets niet klopt.

Distro's gebruik makende van ports checken van te voren de md5sum. Als een package maintainer nou de mirrors zou checken zou hij zien dat de md5sum's niet hetzelfde waren.

Sowieso, mirrors zijn een effectief wapen tegen deze flauwe grapjes.

Aan de andere kant: langer dan een week voordat iemand erachter kwam? Opmerkelijk.

Maar goed. Ik gebruik sowieso geen MTA die 100% setuid draait.
Verwijderd @Verwijderd10 oktober 2002 07:51
Maar hoe weet je nou zeker dat op de mirrors wel de goede versie staat, en niet de geinfecteerde versie? :)
Verwijderd @Verwijderd10 oktober 2002 09:05
Op de huidige manier kun je dat niet weten. Er zal een nieuwe techniek bedacht moeten worden. Ik hoopop een decentralisatie-manier zoals ik al aangaf met die mirrors. Dan kun je met elkaar vergelijken. Dus geen centrale md5sum keyserver.

Hier loopt een interessante discussie erover:
http://www.deadly.org/article.php3?sid=20021009125325
Stainless Steel @Verwijderd10 oktober 2002 16:03
Je kunt de download van de mirror checken met de md5 van de originele site
arjankoole @Verwijderd11 oktober 2002 15:52
Maar goed. Ik gebruik sowieso geen MTA die 100% setuid draait.
dan heb je niet opgelet, sendmail = setgid naar een less priv. user. behalve de daemon die alles aanpakt, die wordt gestart als Root, Draait als Root, en moet altijd als root draaien. (misschien dat ie along the way nog wat onnodige privs dropt, maar dat lijkt me sterk aangezien de MTA ook userdirs moet checken voor .forwards, .procmailrc's, etc)
XTerm 9 oktober 2002 22:51
De versie die je via HTTP kan downloaden was niet besmet met de trojan code.
Het is overigens ALTIJD aan te raden om te controleren of software die je download wel een correcte MD5 heeft.
Het is wel opvallend dat dit zo kort gebeurt nadat het met SSH is gebeurt... zou hier eenzelfde groepering achter zitten die *Nix in een kwaad daglicht wil stellen ?
Verwijderd @XTerm9 oktober 2002 23:19
Jammer dat er geen "+1,paranoia theorie" mod optie bestaat. ;)

Jammer dat ze het proberen om trojans te verstoppen. Maar het is een goede waarschuwing.
DannyXP1600 @Verwijderd10 oktober 2002 11:18
Jammer dat ze proberen trojans te verstoppen? Als ze het niet zouden verstoppen zou het geen trojan heten...
Dan zou het gewoon zoiets zijn: klik hier om je systeem beschikbaar te stellen aan mensen die graag alles kapot maken...
Verwijderd @XTerm10 oktober 2002 11:32
Wie weet is het inderdaad een groepering die *Nix in het kwade daglicht wil stellen. Maar wel apart dat er dan dus weer een server blijkbaar is gekraakt. Of het moet iemand zijn geweest met toegang tot die server...
Verwijderd @Verwijderd10 oktober 2002 12:06
Als het een groepering is die *nix in een kwaad daglicht wil zetten, dan hebben ze dus blijkbaar gelijk, want als *nix zo goed was, zouden ze nooit die versie van sendmail op de ftp kunnen zetten... :)
basb @Verwijderd10 oktober 2002 20:19
hmm
Of je controleerd zoals het hoort de checksums.

Iets wat de grote concurrent van *nix niet eens heeft }>

In elk geval, ftp server kraken is niet zo moeilijk als de beheerder vvan een ftp site niet oplet of zijn versie gevoelig is voor exploits. Of bijv simpel weg geen goed wachtwoord gebruikt.
Verwijderd 9 oktober 2002 23:07
Even voor de n00bs voordat ze beginnen te gillen:

Als je een "niet from the ground up distro zoals bv Gentoo" gebruikt zoals Suse, Mandrake of Redhat hoef je je geen zorgen te maken.

Daarin is sendmail al gecompileerd. Een aangezien het alleen in een compile gebeurt terwijl je ook nog eens een verkeerde tarball hebt (Gentoo checked trouwens of de MD5 klopt en hun ebuild packages zullen echt wel schoon zijn).

Dus geen zorgen. Je kan alleen een probleem krijgen als je sendmail vanaf de "echte" source download en compiled EN je bent zo bijdehand geweest om de integriteit van je download niet te checken.
rb338 @Verwijderd10 oktober 2002 03:26
Zal ik me met Gentoo maar vast zorgen maken dan? :+

Latest version available: 8.12.6
Latest version installed: [ Not Installed ]
Homepage: http://www.sendmail.org
Description: Widely-used Mail Transport Agent (MTA).

Gelukkig gebruik ik geen lokale mailserver :)
blade181 9 oktober 2002 23:01
Bevat de kleinere variant Exim die ook dan? Die is toch ook wel deels daarop gebasseerd? Er zal wel een update klaar liggen dan :)
Verwijderd @blade1819 oktober 2002 23:20
Nee exim is een andere mail daemon.
Sendmail was/is de populairste mail daemon en veel programma's gebruiken usr/sbin/sendmail voor emails te versturen. Andere mail daemons leveren meestal een "sendmail" compatible exec mee die ze dan ook sendmail noemen voor het gemak.

edit: je kan ook gewoon ff wat text lezen op www.exim.org
PipoDeClown 9 oktober 2002 23:22
Waarom staat er nergens bij met welke computer er dan verbinding wordt gemaakt. Want dan heb je misschien wel snel de dader te pakken.
Verwijderd @PipoDeClown9 oktober 2002 23:29
als je zo slim bent dat je het voor elkaar gekregen hebt om een trojen in sendmail te krijgen op de officiele download site zal je vast wel niet zo dom zijn om die trojan met jou eigen computer of een computer die traceerbaar is naar jou te gebruiken.
stunn0r @Verwijderd9 oktober 2002 23:38
of om ook effe het bestand waar de goede md5 checksum in staat ook effe te wijzigen..
Stainless Steel @stunn0r10 oktober 2002 15:53
En dat was dus net niet het geval.
The Trojan horse copy did not include an updated PGP signature, so attempts to verify its integrity would have failed. The sendmail.org staff has verified that the Trojan horse copies did indeed fail PGP signature checks.
supahstar 10 oktober 2002 07:23
Een md5 sum is bijna niet te wijzigen.Dit is een kans van 1 op een miljoen ofzo!
Dus die zou bijna 100% wel anders zijn.....
Verwijderd @supahstar10 oktober 2002 09:33
Right.

Je weet blijkbaar niet hoe md5 werkt, de md5sums kan iedereen berekenen en dan komt er precies hetzelfde uit. Dus omdat degene die de trojan verspreid heeft ook access had tot de ftp server kan die de md5sums ook wel overschreven hebben.

Het enige wat echt veilig is, is een signature bij je md5's zetten en die controleren... het probleem is alleen... je controleert het met een public key waarvan je ook niet weet of deze wel goed is... je moet dus altijd aannames doen over de veiligheid van iets.

Een mega web of trust zou dit kunnen oplossen, maarja dat is een utopie. Het andere probleem is natuurlijk dat de developer z'n secret key rond laat slingeren, en dan is het ook nix meer waard.
Olaf van der Spek @Verwijderd10 oktober 2002 12:04
Wat hij (onbewust) probeert te zeggen is dat het vrijwel onmogelijk is de source te wijzigen terwijl de md5 gelijk blijft. Bij crc is dit niet onmogelijk.
Rembert @Verwijderd10 oktober 2002 12:29
Van de public key kun je aannemen dat deze juist is. Je haalt deze bv op van een public key server en voegt deze toe aan je public keyring. De eerste keer dat je een sendmail tarball ophaalt weet je niet zeker of er een troyan in zit. Gaat het goed (maw er komt geen ellende enige weken later zoals nu) dan kun je er vanuit gaan dat je key goed was. Bij alle volgende downloads check je gewoon weer met die key (ik ga er ff van uit dat alle tarballs met dezelfde key worden ondertekend).

En sja... als de developer zijn secret key en passphrase laat slingeren... dan houdt het op.
Dr. Cheeks 9 oktober 2002 22:45
Je vraagt je sterk af hoe die versie uberhaupt op de FTP server terecht is gekomen... :D
Verwijderd @Dr. Cheeks9 oktober 2002 23:28
op dezelfde manier als bij ssh, irssi, etc.. gebeurd is... het begint een trend te worden
Ezz 10 oktober 2002 12:23
Reactie op ( iemand die zijn post weer heeft verwijderd :) ):

Gepost door RetepV donderdag 10 oktober 2002 - 11:26 Score: 1
Sja, en weer worden de mannen van de jongens gescheiden. De mensen die weten waar ze mee bezig zijn hebben natuurlijk de MD5 checksum gecontroleerd en zijn er niet ingetrapt. De overgebleven sukkels niet en die zitten nu met een trojan.

Je zou dit soort dingen eigenlijk gewoon niet bekend moeten maken, dan zouden die sukkels allemaal door de mand vallen en was het internet al lang een veiliger plek geweest.

-----------------------------------------------------------------------------
EZZ:

En weer iemand die als man is geboren.

Linux gebruikers die deze houding aannemen zijn alleen maar bang dat er een dag komt dat niemand meer opkijkt tegen een Linux gebruiker.

Wordt wakker sukkel... Linux moet in zo veel mogelijk huishoudens gaan draaien als NOS. Dus je kunt beter iemand helpen door hem/haar te vertellen hoe je deze MD5 check uitvoerd, dan iemand te kleineren omdat hij/zij dit niet weet.
arjankoole @Ezz11 oktober 2002 16:06
juist, een echte opensource/linux/xBSD aanhanger helpt, net zoals hij vroeger hulp heeft moeten inroepen (niemand wordt geboren met root op z'n voorhoofd getatooed)

so kids, be nice, and lets do some opensource :)
Verwijderd 10 oktober 2002 08:02
Met gentoo hoef je je ook geen zorgen te maken hoor....

die sjeckt namelijk de MD5 zodra hij de package gedowned heeft....

(gentoo rules :Y))
Verwijderd @Verwijderd10 oktober 2002 09:16
Ohja? Hoe weet je dat zo zeker? Als ik schade aan wilde richten zou ik het ontzettend gaaf vinden als een Gentoo developer mijn getrojanede Sendmail zou porten. Want dan compiled hij 'm ook omdat hij 'm test. Dus jij bent dan waarschijnlijk wel secure, die Gentoo developer niet. En of dat erg voor jou is. Och... lijkt mij vrij duidelijker dat zo'n belangrijk persoon een zwakke schakel kan zijn..

Voorbeeldje: bakje van een OpenBSD developer is ook eerst geroot een tijdje geleden. Apache of SSH exploit weet niet meer wat het was. Anyways, op die manier hadden de crackers wel toegang op cvs.openbsd.org verschaft (el8)
Nibble 9 oktober 2002 23:10
zou hier eenzelfde groepering achter zitten die *Nix in een kwaad daglicht wil stellen ?
Bill Gates ontmaskerd :P

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq