• IT-Karriere:
  • Services:

Manipulierte SquirrelMail-Pakete entdeckt

Entwickler stufen Änderungen als ungefährlich ein

Die Archive der SquirrelMail-Version 1.4.12 wurden offenbar nach ihrer Veröffentlichung verändert. Zwar sollen auch die manipulierten Pakete des freien IMAP-Webmail-Frontends nicht gefährlich sein, die Entwickler raten aber vorsichtshalber dazu, die Version erneut herunterzuladen.

Artikel veröffentlicht am , Julius Stiebert

Aufgefallen war dem SquirrelMail-Entwickler Jonathan Angliss, dass die MD5-Summen der am 5. Dezember 2007 veröffentlichten Pakete nicht mehr mit dem tatsächlich auf dem Server vorhandenen Archiv übereinstimmten. Bei der Untersuchung stellte sich heraus, dass die Pakete verändert wurden. Das Projekt nimmt an, dass dies über einen kompromittierten Entwicklerzugang geschah.

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Bundeskriminalamt, Wiesbaden

Nach weiteren Untersuchungen fanden die Programmierer die Änderung, die nach ihren Angaben wenig Auswirkungen haben soll und eher zu einem Fehler als zur Kompromittierung eines Systems führen soll. Allerdings können die Modifizierungen nicht komplett untersucht werden. Daher rät das Projekt jedem, der SquirrelMail 1.4.12 nach dem 8. Dezember 2007 heruntergeladen hat, nun die Originaldateien erneut herunterzuladen. Weitere Untersuchungen sollen zeigen, ob auch ältere Daten verändert wurden.

Die korrekten MD5-Summen für die Pakete lauten:
ea5e750797628c9f0f247009f8ae0e14 squirrelmail-1.4.12.tar.bz2
d17c1d9f1ee3dde2c1c21a22fc4f9d0e squirrelmail-1.4.12.tar.gz
3f6514939ea1ebf69f6f8c92781886ab squirrelmail-1.4.12.zip

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 12,39€
  2. 3,50€
  3. (u. a. Anno 2205 Ultimate Edition für 11,99€, Rayman Legends für 4,99€, The Crew 2 - Gold...

Da Innenministah 17. Dez 2007

KT

Jobst 17. Dez 2007

Und unehrlich gesagt?

SH 17. Dez 2007

Irgendeiner Stelle muss man auf jeden Fall vertrauen. Ob dies nun die FSF/FSFE, CaCert...

SH 17. Dez 2007

z.B. die Paketverwaltung von Gentoo prüft einen Download mit MD5 und einem SHA, daneben...

hboeck.de 15. Dez 2007

Inzwischen haben weitere untersuchungen ergeben, dass die Änderungen nicht so harmlos...


Folgen Sie uns
       


Opel Zafira-e Life Probe gefahren

Wir haben den Opel Zafira-e Life ausführlich getestet.

Opel Zafira-e Life Probe gefahren Video aufrufen
    •  /