The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.02.2012 18:03  В пакете для организации групповой работы Horde обнаружен бэкдор

Разработчики проекта Horde, в рамках которого развивается серия свободных продуктов для организации совместной работы корпоративных пользователей, сообщили о выявлении факта внедрения бэкдора в некоторые из установочных пакетов. Подробности совершения атаки не приводятся, известно лишь то, что пакеты были модифицированы в результате взлома первичного FTP-сервера проекта. Интегрированный бэкдор позволяет удалённому злоумышленнику выполнить произвольный PHP-код на сервере.

Сообщается, что бэкдор был внедрён только в пакеты с Horde 3.3.12, Groupware 1.2.10 и Horde Groupware Webmail Edition 1.2.10. Модифицированные злоумышленниками версии распространялись с начала ноября по 7 февраля. Пользователям указанных версий рекомендуется удостовериться, что их системы не содержат вредоносного кода. Для этого достаточно осуществить поиск в исходных текстах по маске "$m[1]($m[2])".

Производители Linux-дистрибутивов (не сообщается какие именно), поставляющих пакеты, содержащие модифицированный злоумышленниками вариант Horde, уже уведомлены разработчиками и в скором времени выпустят корректирующее обновление. Выпущенный в июне 2011 года Horde 4 и другие релизы проекта проблеме не подвержены. В CVS и Git репозиториях не выявлено подозрительных изменений.

В настоящее время все FTP и PEAR серверы проекта отключены для проведения детального анализа причин и последствий инцидента. Вместо данных систем введены в строй новые серверы, на которых проведена дополнительная работа по усилению безопасности, и на которые загружен архив с пакетами из неподверженного взлому источника.

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Релиз пакета для организации групповой работы Horde 4.0
  3. OpenNews: О возможности создания и внедрения аппаратного бэкдора
  4. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  5. OpenNews: Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP
  6. OpenNews: В доступный на официальном сайте архив исходных текстов FTP-сервера vsftpd был внедрен бэкдор
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: horde, security, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Клыкастый (ok), 18:45, 14/02/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    пааанеслась. год назад ещё писал, что при усилении позиций опенсорса собсвенно эксплуатация уязвимостей будет применяться реже, а вот атаки на "первоисточник" - гораздо чаще. там - ахиллесова пята. разработчикам - терпения и внимательности.
     
     
  • 2.3, Аноним (-), 18:47, 14/02/2012 [^] [ответить]    [к модератору]
  • +5 +/
    Ну нет же проблем если дистрибостроители верифицируют сорцы используя ЭЦП.
     
     
  • 3.4, rusty_angel (ok), 19:01, 14/02/2012 [^] [ответить]    [к модератору]
  • +/
    А откуда дистростроители берут исходники? С уже скомпрометированных серверов проектов. Вот если все будут вместе с архивами выкладывать контрольные суммы…
     
     
  • 4.6, arisu (ok), 19:05, 14/02/2012 [^] [ответить]    [к модератору]
  • +2 +/
    > А откуда дистростроители берут исходники?

    из окаменелостей. ну что стоит девелоперам перестать раздавать окаменелости и вместо этого просто публиковать sha релизного коммита?

     
  • 4.7, Lain_13 (?), 19:20, 14/02/2012 [^] [ответить]    [к модератору]
  • +4 +/
    Git не был скомпрометирован. Сломали только FTP.
     
  • 4.9, Аноним (-), 19:31, 14/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Во люди Пишут же про ЭЦП Контрольную сумму легко подделать, ЭЦП - нет если ря... весь текст скрыт [показать]
     
     
  • 5.23, klalafuda (?), 21:35, 14/02/2012 [^] [ответить]     [к модератору]  
  • +/
    А если приватный ключ лежит рядом с password txt из которого по всей видимости и... весь текст скрыт [показать]
     
     
  • 6.38, rain87 (?), 12:02, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    то ссзб, очевидно
     
     
  • 7.51, Клыкастый (ok), 20:21, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > то ссзб, очевидно

    от этого не легче

     
  • 4.21, FFASM (ok), 21:16, 14/02/2012 [^] [ответить]    [к модератору]  
  • +/
    Это уже давно и делается всеми, кто пользуется git.
     
  • 4.44, Аноним (-), 15:17, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    А что мешает подменить запись о контрольной сумме на странице проекта?
     
     
  • 5.46, Аноним (-), 15:45, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    Речь не о контрольной сумме, а о подписывании кода личной подписью разработчика, и последующей верификации авторами дистрибутивов.
     
     
  • 6.48, Аноним (-), 15:47, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    ^ пардон, не посмотрел кому отвечаю.
     
  • 4.49, Клыкастый (ok), 16:06, 15/02/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    Я предлагаю посмотреть в общем и целом Проблема стоит так, что опенсорс более ... весь текст скрыт [показать]
     
     
  • 5.55, Анон (?), 14:21, 16/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как т... весь текст скрыт [показать]
     
     
  • 6.56, Клыкастый (ok), 22:47, 16/02/2012 [^] [ответить]     [к модератору]  
  • +/
    тем не менее именно линукс паровоз опенсорса описал он её уже давно, и за это ... весь текст скрыт [показать]
     
  • 3.47, Аноним (-), 15:46, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    В таком случае все есть вероятность заражения исходников на машине разработчика, до подписывания.
     
  • 1.2, Аноним (-), 18:46, 14/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Еще один аргумент за использование цифровой подписи.
     
  • 1.5, arisu (ok), 19:04, 14/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    поэтому порочную практику «публикования релизов» давно пора отменить. вместо этого указывать на сайте команду для гита, которая вытащит именно то, что девелоперы назвали релизом.
     
     
  • 2.8, skJ (?), 19:29, 14/02/2012 [^] [ответить]    [к модератору]  
  • +/
    а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к очередной _cvs_system_, ню ню
     
     
  • 3.12, arisu (ok), 19:51, 14/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    скажи мне, милый друг сколько этих самых желающих таки тащат тарболы с офсайта,... весь текст скрыт [показать]
     
  • 3.50, Клыкастый (ok), 16:15, 15/02/2012 [^] [ответить]     [к модератору]  
  • +/
    apt-get отказывается ставить такие страшные вещи cvs, svn, git, mercurial нет,... весь текст скрыт [показать]
     
  • 2.10, Crazy Alex (ok), 19:35, 14/02/2012 [^] [ответить]     [к модератору]  
  • +/
    А в чем принципиальная разница Ну поломают сервер с репозиторием - результат то... весь текст скрыт [показать]
     
     
  • 3.11, анон (?), 19:39, 14/02/2012 [^] [ответить]    [к модератору]  
  • +/
    пользуйтесь гитом - и будет безопасно :)
    а также гораздо более удобно и функционально (имхо)
     
  • 3.13, arisu (ok), 19:55, 14/02/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    задумчиво значит, надо переходить на те, которые проверяют или допиливать про... весь текст скрыт [показать]
     
     
  • 4.52, Клыкастый (ok), 20:24, 15/02/2012 [^] [ответить]     [к модератору]  
  • +/
    истинно так но легко свести лошадь к воде, но невозможно заставить её пить фич... весь текст скрыт [показать]
     
  • 3.16, _Vitaly_ (ok), 20:12, 14/02/2012 [^] [ответить]    [к модератору]  
  • +/
    Упс, не туда ответ воткнулся. Это вам https://www.opennet.ru/openforum/vsluhforumID3/82997.html#15
     
  • 3.20, Аноним (-), 20:32, 14/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же.

    Ага, иди разломай гит так чтобы потом 100500 разработчиков не заметило этого. Удачи.

     
     
  • 4.24, Crazy Alex (ok), 21:38, 14/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Да довольно легко на самом деле - если больше одного человека имеет право на пуш... весь текст скрыт [показать]
     
     
  • 5.30, Michael Shigorin (ok), 23:02, 14/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > если больше одного человека имеет право на пуш

    ...то это уже SVN какой-то.

     
  • 2.26, Аноним (-), 22:56, 14/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Сравним Вы предлагаете скачивать из VCSNAME При этом это может быть git, svn,... весь текст скрыт [показать]
     
     
  • 3.31, arisu (ok), 23:05, 14/02/2012 [^] [ответить]     [к модератору]  
  • –1 +/
    пожимает плечами о боги, человек, ну что же вы такие линейные-то вроде бы и с... весь текст скрыт [показать]
     
     
  • 4.34, Аноним (-), 00:02, 15/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Я совершенно не понял вашего возмущения Наверное, мы с разными окружениями рабо... весь текст скрыт [показать]
     
  • 3.53, Клыкастый (ok), 20:32, 15/02/2012 [^] [ответить]     [к модератору]  
  • +/
    в упор не вижу проблемы md5 sha в портах портежах проверяются, никто не парится... весь текст скрыт [показать]
     
  • 2.29, Michael Shigorin (ok), 23:00, 14/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Да ну, тарболы порой лучше полной истории Бишь аннотированный и крайне желател... весь текст скрыт [показать]
     
     
  • 3.32, arisu (ok), 23:08, 14/02/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    >> поэтому порочную практику «публикования релизов» давно пора отменить.
    > Да ну, тарболы порой лучше полной истории.

    по-моему, у всех нормальных scs есть возможность не качать полную историю. зато — в отличие от тарбола — можно взять и проверить любой интересный срез, а не только то, что на сайте положили.

    >> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
    >> что девелоперы назвали релизом.
    > Бишь аннотированный и (крайне желательно) подписанный тег.

    ну да. это уже частности организации конкретного процесса.

    впрочем, «релизы» как таковые — тоже пережитки прошлого. зачем? «коммит xyz — стабильный коммит». чего ради релизы выпускать, номерами заморачиваться?

     
  • 1.15, _Vitaly_ (ok), 20:11, 14/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    google "%myvcs% sign commit"

    git/mercurial/bazaar точно умеют коммиты подписывать. И на сервисах типа гитхаба генерация архивов интегрирована. C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.

     
     
  • 2.25, klalafuda (?), 22:45, 14/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.

    Факт!

    ftp://ftp.mozilla.org/pub/firefox/releases/latest-10.0/source/
    ftp://ftp.kde.org/pub/kde/stable/latest/src/
    ftp://ftp.gnome.org/pub/gnome/sources/
    ftp://ftp.gnu.org/pub/gnu/
    .............

     
     
  • 3.27, Аноним (-), 22:58, 14/02/2012 [^] [ответить]     [к модератору]  
  • +/
    У большинства есть http-зеркала, откуда качать зачастую намного удобнее, чем вык... весь текст скрыт [показать]
     
     
  • 4.28, Аноним (-), 22:59, 14/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    >ftp сервера обычно ограничивают это,
     
  • 1.22, Аноним (-), 21:24, 14/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    7 февраля какого года?
     
  • 1.35, Аноним (-), 08:23, 15/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Почему на kernel.org все исходники имеют свои цифровые подписи, а тут никто не позаботился? Чеще делать,чаще проверять - вот и все !)
     
     
  • 2.40, Аноним (-), 13:01, 15/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Почему ты считаешь, что цифровая подпись хоть что-то гарантирует В концепции PK... весь текст скрыт [показать]
     
     
  • 3.42, Michael Shigorin (ok), 13:37, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > Нет доверия.
    > Есть знание.

    Сколько будет два плюс два?

     
     
  • 4.43, arisu (ok), 14:26, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Нет доверия.
    >> Есть знание.
    > Сколько будет два плюс два?

    например, 11.

     
  • 4.45, фыва (?), 15:34, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    2+2=22
     
  • 4.54, R (?), 20:36, 15/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Нет доверия.
    >> Есть знание.
    > Сколько будет два плюс два?

    А сколько Вам надо? (С) ;)


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor