|
|
DİKKAT: Trojanlı OpenSSH Dağıtımları
|
|
|
Ana sayfa
Haberler
Güvenlik Açıkları
|
OpenSSH dağıtımlarında arka kapı (trojan) bulundu!
|
OpenBSD FTP sunucularında bulunan OpenSSH 3.2.2p1, 3.4p1 ve 3.4 sürümleri trojanlı çıktı ve yansılama (mirror) işlemi sırasında diğer ftp sunuculara da dağıtılmış olma potansiyeline sahip!
Trojan kodunun 30 ve 31 Temmuz günleri arasında OpenSSH koduna yerleştirildiği belirlendi. OpenSSH geliştiricileri tüm dosyaları 1 Ağustos 2002 itibari ile değiştirip yerlerine trojansız dosyaları koydular.
Bu zaman diliminde OpenBSD ftp sunucusundan veya diğer yansılarından OpenSSH dosyalarını download edip kurmuş olanların sistemlerinde trojan olması ihtimalinin çok yüksek olduğu söyleniyor.
Trojan bf-test.c dosyasında bulunuyor ve spesifik bir adresten kod/komut çalıştırılmasına izin veriyor. Trojan`ın kullandığı port normalde IRC servisi tarafından kullanılıyor ve trojan spesifik bir IP adresine her saat başı bağlantı yapıyor, bağlantı başarılı olursa OpenSSH & Trojan kurulu sistemde komut çalıştırılması mümkün olabiliyor.
Bu trojan 3 komut ile çalışabiliyor:
Komut A: Exploit`i yoket
Komut D: Komut Çalıştır
Komut M: Sleep moduna geç
Çözüm:
Kurduğunuz OpenSSH dağıtımının trojanlı dağıtım olup olmadığını kontrol edin. Doğru OpenSSH .tar dosyaları kurulumdan önce dosya değişikliğini kontrol amaçlı PGP imzaları içeriyor. Ayrıca aşağıdaki MD5 checksumlar ile dosyanın değişip değişmediğini kontrol edebilirsiniz.
MD5 (openssh-3.4p1.tar.gz) = 459c1d0262e939d6432f193c7a4ba8a8
MD5 (openssh-3.4p1.tar.gz.sig) = d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) = 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) = 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) = be4f9ed8da1735efd770dc8fa2bb808a
Etkilenen Sürümler:
- OpenSSH 3.2.2p1
- OpenSSH 3.4p1
- OpenSSH 3.4
ref: OpenSSH Web Sitesi
CERT güvenlik duyurusu CA-2002-24
|
|
|
|
