Troijan hevonen Sendmail-jakelupaketeissa

Sendmail on Unix-tietokoneissa käytetty yleisin sähköpostiviestien välitysohjelmisto. Tunkeilija on päässyt muuttamaan ohjelmiston jakelupakettia ftp.sendmail.org FTP-palvelimessa lisäten pakettiin haittaohjelmakoodia. Koodi ajetaan ohjelmistopaketin käännösvaiheessa. Muokattu ohjelmisto avaa yhteyden ennaltamääritettyyn järjestelmään porttiin 6667/tcp. Koodin avulla hyökkääjän on mahdollista käynnistää shell-käyttöliittymä niillä oikeuksilla, jotka ovat ohjelmistopaketin käännösprosessin käynnistäneellä käyttäjällä.

On huomattava, että haittaohjelmakoodi suoritetaan vain Sendmail-ohjelmistopaketin lähdekoodin käännösprosessin yhteydessä.

Varoituksen kohderyhmä

Järjestelmät joissa on käännetty seuraavien ohjelmistopakettien lähdekoodi

sendmail.8.12.6.tar.Z
sendmail.8.12.6.tar.gz

Muutetut ohjelmistopaketit ovat olleet saatavilla ftp.sendmail.org FTP-palvelimella 28.9 - 6.10.2002 aamuun Suomen aikaa. Muutetut ohjelmistopaketit on voitu kopioida myös ftp.sendmail.org -palvelinta kopioiville FTP-palvelimille.

Ratkaisu- ja rajoitusmahdollisuudet

Jos järjestelmän Sendmail-ohjelmistopaketti on haettu käännettäväksi 28.9 jälkeen, asennuksessa käytetyn ohjelmistopaketin PGP-allekirjoitus tai MD5-tarkistussummat on syytä tarkistaa CERT/CC -ohjeen CA-2002-28 mukaisesti.

Jos tarkistussummat eivät täsmää, on tehtävä uusi Sendmail-asennus turvallisella ohjelmistoversiolla ja varmistuttava järjestelmän tietoturvatilanteesta.

Lisäksi CERT-FI suosittelee kaiken ftp.sendmail.org -palvelimesta 28.9 jälkeen haettujen ohjelmistopakettien eheyden tarkistamista erityisen huolellisesti.

Lisätietoa

http://www.cert.org/advisories/CA-2002-28.html

http://www.sendmail.org

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248