Sendmail ospita un cavallo di Troia

Il CERT avvisa che in alcune copie del popolare mail-server open source, Sendmail, stato inoculato del codice malevolo capace di aprire backdoor e minare la sicurezza del server. Agire subito per evitare sorprese. I dettagli

Sendmail ospita un cavallo di TroiaRoma - L'allarme stato lanciato dal CERT/CC (Computer Emergency Response Team Coordination Center) che nel bollettino di sicurezza CA-2002-28 afferma di aver avuto conferma della scoperta, in alcune copie dei codici sorgenti del ben noto e assai diffuso mail-server open source Sendmail, di un pericoloso cavallo di Troia.

I file modificati e contenenti il codice malevolo sono quelli relativi alla versione 8.12.6 di Sendmail. Il CERT sostiene che questi file sono apparsi sul sito FTP di sendmail.org il giorno 28 settembre. Il team di Sendmail ha disattivato il server compromesso soltanto una settimana dopo, e per la precisione il 6 ottobre scorso.

Secondo quanto riporta il CERT, pare che le copie distribuite attraverso i server HTTP non siano state modificate: in ogni caso gli esperti di sicurezza raccomandano prudenza e suggeriscono agli amministratori di verificare che la firma PGP contenuta nei pacchetti in loro possesso sia integra (per verificarlo, il CERT fornisce queste istruzioni).
Il cavallo di Troia contenuto nelle versioni compromesse di Sendmail viene eseguito durante il processo di installazione del software ed in grado di aprire una backdoor sulla porta 6667/tcp: attraverso questo varco un intruso pu lanciare una shell sul sistema remoto che giri con gli stessi diritti dell'utente che ha compilato il codice del software. In soldoni, un aggressore potrebbe sfruttare la backdoor per guadagnare l'accesso al server remoto con gli stessi privilegi dell'utente che ha compilato Sendmail.

Il CERT sottolinea che ad essere compromessa non la sicurezza del server su cui gira il demone di Sendmail, ma quello su cui Sendmail stato compilato (che, in ogni caso, spesso coincidono).

La soluzione temporanea quella di filtrare, con un firewall, la porta 6667, mentre quella definitiva riscaricare e ricompilare Sendmail.

L'incidente ricorda da vicino un episodio analogo che alla fine di luglio interess OpenSSH: anche in questo caso in alcuni file modificati della distribuzione del noto software open source venne scoperta la presenza di un cavallo di Troia.
113 Commenti alla Notizia Sendmail ospita un cavallo di Troia
Ordina
  • Tutti i programmi di una certa complessita' sono affetti da bug, e possono contenere trojan, backdoor e virus. Incidenti come quello capitato possono accadere sempre, e non solo a software liberi. La cosa importante e' essere a conoscenza della presenza di una falla IL PRIMA POSSIBILE, per prendere le adeguate contromisure. Se qualcuno rilascia la patch dopo un mese o piu' tenendo segreta la falla all'utilizzatore del software, lo rende vulnerabile agli attacchi. La vergogna e' che i programmi software commerciali, cosi' come i software liberi, vengono distribuiti "AS IS", e quando si accetta il contratto di licenza si accetta espressamente la possibilita' che il programma possa non funzionare come ci aspettiamo o distruggere definitivamente mesi di lavoro. Se puo' essere considerato giusto aspettarsi condizioni di licenza di questo tipo da chi sviluppa software libero a disposizione di tutti, si puo' dire lo stesso per chi produce software soltanto per ricavarne profitto dalla vendita? Chi di voi comprerebbe una macchina il cui costruttore obbliga ad accettare,ad esempio, la possibilita' che il motore si spenga mentre effettuiamo un sorpasso, e a non lamentarci se cio' accade? Perche' i produttori di software, che tra l'altro hanno costi di produzione di una copia del programma ridotti rispetto a chi deve produrre sistemi meccanici (un cd costa sicuramente meno di un cavatappi), devono essere esonerati dal garantire un MINIMO di funzionamento del loro prodotto? E i governi investono fondi per finanziare lo sviluppo di software assolutamente NON GARANTITO???
    non+autenticato
  • Mamma mia quanto è coglione claster con i suoi "pirlotta" a destra e a manca, non lo sopporto.
    Ogni suo post meriterebbe di essere censurato ma purtroppo alcuni sfuggono alla x rossa malgrado siano pieni di insulti per i poveretti che osano replicare alle sue puttanate.

    PS: d'ora in poi ci sarà un mio post di insulti all'idiota ogniqualvolta subodorerò la sua presenza nel forum.
    non+autenticato
  • mi ricorda i tempi un cui installavi un software da floppy, lo passavi all'antivirus e questo non diceva niente perchè... il virus era ancora sconosciuto.

    essendo il trojan in questione probabilmente scritto ad hoc, non c'era modo di evitare l'infezione se non scaricando sendmail solo da fonti affidabili, o verificando l'integrità dei sorgenti in qualche modo.
    o rilevando la presenza sospetta della porta che il trojan apre.

    per lo meno pare che il trojan non sia nei sorgneti scaricabili dai server ufficiali, o nelle distribuzioni.

    questo incidente sembra confermare che un server di quelasiasi tipo non può essere mantenuto in sicurezza da gente inesperta... bisogna sempre aspettarsi di tutto, anche un trojan nel sorgente. o nel binario.
    chissà quante installazioni di server diffusi (open e non) con backdoor esistono al mondo, e di quante non sapremo mai nulla.
    non+autenticato
  • - Scritto da: inmyhumboll

    > essendo il trojan in questione probabilmente

    io uso debian stable con sendmail di 12 anni fa quindi niente troian e neanche magnum infatti userei control ma non caps lock
    non+autenticato
  • si vede che usi anche coca cola con l'aspirina... : )

    - Scritto da: Linucs
    > - Scritto da: inmyhumboll
    >
    > > essendo il trojan in questione
    > probabilmente
    >
    > io uso debian stable con sendmail di 12 anni
    > fa quindi niente troian e neanche magnum
    > infatti userei control ma non caps lock
    non+autenticato


  • - Scritto da: Linucs
    > - Scritto da: inmyhumboll
    >
    > > essendo il trojan in questione
    > probabilmente
    >
    > io uso debian stable con sendmail di 12 anni
    > fa quindi niente troian e neanche magnum
    > infatti userei control ma non caps lock

    Tu usi solo gli stupefacenti, da 12 anni.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)