[Generic/tcpdump,libpcap] Versionen mit trojanischem Pferd

[Hackmeck]

Folgendes habe ich eben im Newsletter der RUS-CERT gelesen. Siehe dazu auch http://www.heise.de/newsticker/data/pab-13.11.02-002/.
War Debian GNU/Linux davon betroffen?


[Generic/tcpdump,libpcap] Versionen mit trojanischem Pferd in Umlauf
(2002-11-13 18:07:25.218952+01)
Quelle: http://slashdot.org/articles/02/11/13/1 ... ml?tid=172

Über http://www.tcpdump.org (sowie Mirror-Seiten) wurden manipulierte
libpcap- und tcpdump-Versionen verbreitet.

Betroffene Systeme
  * Systeme, auf denen libpcap 0.7.1 installiert wurde
  * Systeme, auf denen tcpdump 3.6.2 installiert wurde
  * Systeme, auf denen tcpdump 3.7.1 installiert wurde

Einfallstor
Installation von libpcap/tcpdump

Auswirkung
Die manipulierte Version soll offenbar Verbindungen über Port 1963 zu
einem System (212.146.0.34 - mars.raketti.net) aufbauen und dem
Angreifer ggf. Shell-Zugang ermöglichen. Dieser Netzwerkverkehr wird
von den manipulierten libpcap/tcpdump-Versionen nicht protokolliert.

Typ der Verwundbarkeit
mit einem trojanischen Pferd versehene Version

Gefahrenpotential
hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Nach bislang nicht verifizierten Angaben wurde in einem derzeit nicht
genau bestimmten Zeitpunkt eine mit einem trojanischen Pferd versehene
libpcap/tcpdump-Version verbreitet. Potentiell ist der Zeitraum
zwischen dem 30.10.2002 und dem 13.11.2002 betroffen. Unter Umständen
sind manipulierte Pakete auf einigen Mirror-Seiten noch verfügbar.
Über die Umstände der Manipulationen auf http://www.tcpdump.org ist bislang
nichts bekannt.

Feststellen der Verwundbarkeit
Mit einem trojanischen Pferd versehene libpcap/tcpdump-Dateien weisen
eine Zeile der Form "char *str, *tmp, *new = "not port 1963";" auf,
wodurch z.B. mittels der Befehle
strings -a /usr/sbin/tcpdump | fgrep 'not port 1963'
strings -a /usr/lib/libpcap* | fgrep 'not port 1963'

diesbezügliche Eintragungen angezeigt werden könnten.

Gegenmaßnahmen
Die nicht manipulierten Pakete weisen folgende MD5-Checksummen auf
(Verifizierung mittels des Programms "md5sum" bzw. "md5"):
  * 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
  * 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
  * 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz

Weitere Information zu diesem Thema
  * [2]Latest libpcap & tcpdump sources from tcpdump.org contain a
    trojan (Houston Linux Users Group)

Aktuelle Version dieses Artikels
[3]http://CERT.Uni-Stuttgart.DE/ticker/art ... p?mid=1018

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2002 RUS-CERT, Universität Stuttgart,
[4]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/cha ... ungsstufen
2. http://hlug.fscker.com/
3. http://CERT.Uni-Stuttgart.DE/ticker/art ... p?mid=1018
4. http://CERT.Uni-Stuttgart.DE/

   ----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

[pdreker]

Ob Debian betroffen ist/war oder nicht, wird man in den nächsten tagen auf Debian-Security erfahren können.

Patrick

[Hackmeck]

Ob Debian betroffen ist/war oder nicht, wird man in den nächsten tagen auf Debian-Security erfahren können.

Wie schnell ist das Security-Team von Debian normalerweise? Ich finde es erschreckend, dass sich ein Trojanisches Pferd in einem Programm mit offenen Quelltext einnisten kann! Wie kann das passieren? Wurde es übersehen oder wurden die Server manipuliert?

Auf http://www.debian.org/security/ steht noch nichts dazu.

[pdreker]

genauso wie die letzten 3 oder 4 trojanische Pferde in OpenSource Software: Man bricht in den FTP Server ein und frisiert das configure Script.

Es gab in letzter Zeit mehrere solcher Vorfälle:
irssi, fragroute, BitchX, OpenSSH, Sendmail und jetzt halt tcpdump.

Der Trojaner ist aber normalerweise nur dann wirklich gefährlich, wenn man den Source selbst kompiliert, weil der im configure Script aufgerufen wird. Die eigentlich tcpdump Version zeigt dann nur den zugehörigen Traffic nicht an.

Aber ich habe aus mehr oder minder brauchbarer Quelle erfahren, dass Debian nicht betroffen ist (apt-get source libpcap, und dann nachsachauen, ob die Zeile, die die Pakete versteckt drin ist)

Patrick

[Hackmeck]

Aber ich habe aus mehr oder minder brauchbarer Quelle erfahren, dass Debian nicht betroffen ist (apt-get source libpcap, und dann nachsachauen, ob die Zeile, die die Pakete versteckt drin ist)

Meinst du diese Quelle?

http://www.heise.de/newsticker/foren/go ... owthread=1

[pdreker]

Ich gebe zu, der hat mich auf die Idee gebracht, aber da ich dem Heise Forum und seinen Teilnehmern (insbesondere den Teilnehmern) nicht weiter traue als ich eine Sun Starfire werfen kann habe ich dann selbst kontrolliert...

Patrick

[felix-the-cat]

meines wissen wird auf der security site doch nur ein meldung gebracht wenn sie stable betrifft. bisher sind packete dieser versionen nur in sid enthalten.