| |
 |
Veröffentlicht durch dawn am Dienstag 28. Mai, 10:34
Aus der gefaehrlich Abteilung
|
|
|
|
|
Soeben auf irssi.org gesehen: Im configure-Skript von irssi 0.8.4 hat es ein Backdoor. Dies konnte passieren, weil einige Leute in main.irssi.org eingebrochen sind. Zumindest hat der Autor von irssi etwas gelernt -- und signiert seine Releases jetzt mit GPG. Was lernen wir daraus? Richtig, nichts ist sicher... und dass man bei jedem Download zumindest die GPG-Signatur und MD5 Summen prüfen sollte.
|
|
|
|
< Die etwas andere Seite für Linuxer | Druckausgabe | Privilege Separated OpenSSH > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Vielleicht ist das ja ein verstaendnissproblem, aber was bringt eine md5sum wenn die Site sowieso gecrackt wurde? Da kann der Einbrecher ja auch die Seite aendern und die md5sum korrigieren?
Ein md5sum-Server waer doch was schlaues wo man accounts hat und die entsprechenden summen "posten" kann. Klar, waer ein klarer Mehraufwand aber wenn die eigene Seite kompromitiert worden waere, waeren die sum's noch lange nicht invalid. Ausserdem koennte man sowas wie md5sumcheck machen was ein File via den md5sum-Servern checken wuerde.. ok, moeglicherweise sind das ja nur hirngespinste aber eine Idee waers doch?!
Gruss
Joel
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
Also genau desshalb sollten md5 checksummen immer auf einem readonly Medium gespeichert werden. Gut, nuetzt nichts wenn der Cracker auf der Website einfach seine eigenen checksums verlinkt. Obwohl ich nicht glaube, dass genau dieser Cracker speziell intelligent ist. So wie er das configure Script abgeaendert hat, muesste man ./configure als root ausfuehern, um eine rootshell zu bekommen.
Die Idee mit dem md5server toent gut.
Wie siehts mit dem Signieren aus? Cryptom kann da sicher helfen. Sollte doch eigentlich sicher sein, oder?
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 28. May, 14:34 MES (#5)
|
|
|
|
|
So wie er das configure Script abgeaendert hat, muesste man ./configure als root ausfuehern, um eine rootshell zu bekommen.
Egal unter welcher User-ID man das Skript ausfuehrte -- der Angreifer kriegte einfach Zugriff auf den Account, der das Skript ausgefuehrt hat. Und das auch nur solange, bis man rebootet hat.
|
|
|
|
|
|
|
|
|
|
|
|
|
"Und das auch nur solange, bis man rebootet hat."
Leider ist Linux stabil... keine Reboots ;) (ich hätte nicht gedacht, dass *das* ein Nachteil sein könnte ;)
Der Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es ist doch alles eine Frage der Bequemlichkeit. Also ich gestehe hier oeffentlich dass ich nie die md5 summen checke. Aber wenn es natuerlich ein Tool gaebe wo ich nur das Tool und das file angeben muesste und er den Rest von alleine macht wuerde auch ich sicher des oefteren die md5 Summen checken. Klar, jemand kann das manipulieren, aber dann manipuliert er einen einzelnen User und nicht die Menge.
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 28. May, 16:11 MES (#8)
|
|
|
|
|
richtig erfasst. md5 summen bringen praktisch gar nichts, ausser dass man bei grossen downloads rasch ueberpruefen kann, obs richtig runtergeladen worden ist (was eigentlich das ftp programm schon sicherstellen sollte).
allerdings weiss man damit noch nicht, ob die richtigen sources/binaries runtergeladen wurden. dafuer braucht man dann openpgp signaturen (ein dazu konkurrierendes format ist x.509, basierend auf einem zentralistischen authentifikationsschema). je nachdem, ob die signatur stimmt und man dem public key der signatur vertraut, kann man die software dann bedenkenlos installieren oder eben gar nicht installieren. das vertrauen in den public key ergibt sich aus dem persoenlichen web of trust (oder einem direkten trust in den key, was aber u.u. fahrlaessig ist).
|
|
|
|
|
|
