|
CERT 安全公告 下载的OpenSSH可能嵌有特洛伊木马程序
涉及程序:
OpenSSH
描述:
CERT 安全公告 下载的OpenSSH可能嵌有特洛伊木马程序
详细:
CERT/CC接到确认的消息指出,部分 OpenSSH 的源文件遭到入侵者窜改并在其中加载了特洛伊木马程序。
任何OpenBSD 的 ftp 服务器和一些相关镜像站点都应该立刻检查其文件的完整性。
CERT/CC接到确切的消息指出,部分 OpenSSH 的源文件遭到入侵者窜改并在其中加载木马程序。OpenSSH
开发小组在 http://www.openssh.com/txt/trojan.adv公布了相关的安全通报.
下列文档遭到窜改并被植入了恶意代码:
openssh-3.4p1.tar.gz
openssh-3.4.tgz
openssh-3.2.2p1.tar.gz
这些文档在2002年 7月30日或31日被放到 ftp.openssh.com 及 ftp.openbsd.org,
OpenSSH 开发小组在2002年 8月 1日 13:00 (UTC时间) 便以原始、未压缩的版本替换掉了被植了恶意代码的版本,
然而这段时间已足够使有问题的文档被复制到其它镜像站点。
这些含有恶意程序的 OpenSSH 会在编译时执行木马程序,连结到某个固定的远程主机的 TCP 6667 port,
然后能以编译 OpenSSH 程序使用者的身份去开启一个shell。
入侵者经由恶意程序代码内所指定的主机可以在未被授权的情况下,取得任何编译该受窜改 OpenSSH 程序的主机上的权限。
取得的权限等级与编译该 OpenSSH 的使用者相同。
攻击方法:
暂无有效攻击代码
解决方案:
任何可下载 OpenSSH 程序的站点都必须检查其下载处的可信赖性,不管是由何处下载。同时,使用者也应该检查任何由该受害站点下载的所有程序。
注意:只根据文档的时间或大小来判断该程序是否为有木马程序的版本是不够的。
为确定自己下载的版本是不是中了木马:
l 在安装之前可以使用含有 PGP 签名的 SSH tarballs 进行验证。
OpenSSH 可移植的版本会额外附上 PGP signatures,含有木马程序的版本并没有
正确地签名,企图对其验证会出现错误的结果。
l 当然也可以使用以下 MD5 checksums 进行验证:
MD5 (openssh-3.4p1.tar.gz) =3D 459c1d0262e939d6432f193c7a4ba8a8=20
MD5 (openssh-3.4p1.tar.gz.sig) =3D d5a956263287e7fd261528bb1962f24c
MD5 (openssh-3.4.tgz) =3D 39659226ff5b0d16d0290b21f67c46f2
MD5 (openssh-3.2.2p1.tar.gz) =3D 9d3e1e31e8d6cdbfa3036cb183aa4a01
MD5 (openssh-3.2.2p1.tar.gz.sig) =3D be4f9ed8da1735efd770dc8fa2bb808a
据回报,有一个遭到窜改的版本其拥有以下的 MD5 checksum:
3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz
-----
为确实达到安全性,每位使用者应尽可能地检查下载档案的完整性,更多相关信息请参考:
http://www.cert.org/incident_notes/IN-2001-06.html
|