Kernel-Fehler für Einbruch in Debian-Server benutzt

Nachdem das Debian-Team den Einbruch entdeckte, schaltete es Gluck sowie weitere Server gestern ab, um diese zu überprüfen. Nach abgeschlossener Untersuchung steht nun fest, dass der Angreifer mindestens einen Entwicklerzugang knackte und sich mit diesem am System anmeldete. Da zwischen den ersten verdächtigen E-Mails, die den Administratoren auffielen, der Entdeckung des Angriffs und dem Abschalten der Rechner nur etwa zwei Stunden vergingen, konnte der Angreifer allerdings keinen Schaden anrichten. Einzig /bin/ping war demnach ausgetauscht worden. Auch bekam der Angreifer mit dem von ihm genutzten Zugang keinen Zugriff auf andere Server mit stärker begrenztem Zugang, beispielsweise das normale Debian- und das Sicherheitsarchiv. Als Folge des Angriffs haben die Administratoren auch die Passwörter aller Entwickler überprüft und einige Zugänge mit zu leichten Passwörtern gesperrt.

Um Root-Rechte zu erlangen, wurde ein Fehler im Linux-Kernel(öffnet im neuen Fenster) genutzt, der in den Versionen 2.6.13 bis 2.6.17.4 sowie in den 2.6.16-Veröffentlichungen vor 2.6.16.24 steckt. Das Problem liegt in der prctl-Funktion, durch den Fehler kann ein Angreifer Core-Dump-Dateien in Verzeichnisse schreiben, für die er an sich keine Rechte hat.