[HaBo]

Zwei weitere Server, die freie Software bereitstellen, wurden gehackt: der Savannah-Server der Free Software Foundation und ein rsync-Server der Linux-Distribution Gentoo. Zusammen mir den Debian-Systemen wurden damit innerhalb weniger Wochen drei Infrastrukturknoten für freie Software angegriffen und kompromittiert.

Der Savannah-Server der FSF dient als Download- und Entwicklungszentrale für GNU- und andere freie Software. Derzeit erscheint auf dem Server nur eine kurze Meldung, dass die Betreiber am 1. Dezember entdeckt haben, ihr Server sei ungefähr am 2. November kompromittiert worden. Die Vorgehensweise der Eindringlinge sei identisch zu der bei dem Einbruch in die Debian-Systeme und unterscheide sich grundsätzlich von dem Einbruch auf dem GNU-FTP-Server im August. Der Einbrecher habe sich nachdem er einmal auf das System gelangt sei, Root-Rechte verschafft und das Root-Kit SucKIT installiert.

Trotz "wichtiger philosophischer Differenzen" wolle man jetzt mir den Mitgliedern des Debian-Projekts zusammenarbeiten, um den Einbrecher aufzupüren und die Infrastruktur für freie Software zukünftig besser abzusichern. Insbesondere untersuche man Möglichkeiten, die Authentizität von dort bereitgestelltem Source Code sicher überprüfbar zu machen. Der Server ist derzeit außer Betrieb, das System wird auf neuer Hardware wieder aufgesetzt und bis Freitag soll zumindest ein Minimalbetrieb wiederaufgenommen werden.

Etwas anders liegt der Fall bei Gentoo. Hier ist "nur" einer der rsync-Server betroffen, gegen den Anwender ihre Dateibestand abgleichen können. Der Einbruch fand in der Nacht zum Dienstag den 2.12. statt, die Angreifer haben sich mit einem Remote Exploit Zugang verschafft. Nach erster forensischer Analyse sehen die Entwickler keine Anzeichen, dass Pakete der Gentoo-Distribution manipuliert worden seien. Nach Aussagen der Entwickler war der betreffende Server circa eine Stunde kompromittiert, bevor der Einbruch entdeckt und der Rechner vom Netz genommen wurde. Laut Log-Dateien haben in der Zeit 20 Nutzer von diesem Server Pakete heruntergeladen.

Auf welche Weise genau in den Server eingebrochen wurde, untersuchen die Gentoo-Entwickler momentan. Den Namen des Servers geben sie vorerst nicht bekannt, da es sich um einen gesponsorten Rechner handelt, der nicht zur offiziellen Gentoo-Infrastruktur gehört und noch andere Dienste bereitstelle. Solange keine Gentoo-Dateien kompromittiert seien, akzeptiere man den Wunsch des Sponsors, bis zum Abschluss der Auswertung mit der Veröffentlichung des Namens zu warten.

Der betroffene Server wurde aus den rsync.*.gentoo.org-Rotationen entfernt und wird erst wieder in Betrieb genommen, wenn die Integrität vollständig gewährleistet ist. Sicherheitsbesorgten Anwendern empfiehlt Gentoo, mit einem emerge sync die Paketlisten auf den aktuellen Stand zu bringen.

Siehe dazu auch:

Statement der FSF
Security Announcement des Gentoo-Teams
Debian-Projekt legt Abschlussbericht zum Server-Einbruch vor auf heise Security

(ju/c't)

http://www.heise.de/security/news/meldung/42608