Troijan hevonen tcpdump ja libpcap -jakelupaketeissa

Tcpdump on Unix-järjestelmissä käytetty verkkoliikenteen tarkkailuohjelmisto. Libpcap on järjestelmäriippumaton ohjelmointirajapinta verkkoliikenteen tarkkailuun. Tunkeilija on päässyt muuttamaan tcpdump- ja lippcap -ohjelmistopaketteja www.tcpdump.org HTTP-palvelimella, ilmeisesti 11.11.2002 klo 12:14 Suomen aikaa lisäten jakeluversioihin haittaohjelmakoodia. Tcpdump -ohjelmiston kehittäjät estivät muutettujen ohjelmistopakettien jakelun palvelimelta 13.11.2002 klo 17:05:19 Suomen aikaa.

Muutetut ohjelmistopaketit avaavat yhteyden ennaltamääritettyyn apujärjestelmään porttiin 1963/tcp. Tästä apujärjestelmästä haetaan lisää ohjelmakoodia, joka sisältää mm. takaporttiohjelmiston. Koodin avulla hyökkääjän on ollut mahdollista käynnistää shell-käyttöliittymä järjestelmään, jossa haavoittuvan ohjelmistopaketin lähdekoodi on käännetty.

Varoituksen kohderyhmä

Järjestelmät, joissa on käännetty seuraavien ohjelmistopakettien lähdekoodi

tcpdump-3.6.2.tar.gz,
md5-tarkistussumma 3a1c2dd3471486f9c7df87029bf2f1e9
tcpdump-3.7.1.tar.gz,
md5-tarkistussumma 3c410d8434e63fb3931fe77328e4dd88
libpcap-0.6.1.tar.gz,
md5-tarkistussumma 73ba7af963aff7c9e23fa1308a793dca

Haittaohjelmakoodin sisältävät ohjelmistopaketit ovat olleet saatavilla www.tcpdump.org -palvelimella 11.11-13.11 välisenä aikana. Tällä hetkellä ei ole tiedossa, ovatko mahdolliset
www.tcpdump.org -palvelinta peilanneet palvelimet jakaneet saastuneita ohjelmistoversioita.

Ratkaisu- ja rajoitusmahdollisuudet

Jos tietojärjestelmään on käännetty äskettäin libpcap/tcpdump -ohjelmistopaketit, pakettien md5-tarkistussummat on syytä varmistaa. Tällä hetkellä tcpdump ja libpcap -ohjelmistopakettien kehittäjät suosittelevat seuraavia palvelimia turvallisiksi havaittujen versioiden noutamiseen:

http://sourceforge.net/projects/tcpdump
http://sourceforge.net/projects/libpcap

Suositeltavat, turvalliseksi havaitut ohjelmistoversiot ovat seuraavat:

tcpdump3.7.1.tar.gz,
md5-tarkistussumma 03e5eac68c65b7e6ce8da03b0b0b225e
libpcap-0.7.1.tar.gz,
md5-tarkistussumma 0597c23e3496a5c108097b2a0f1bd0c7

Jos tietojärjestelmään on asennettu haavoittuva ohjelmistoversio, järjestelmään on syytä tehdä perusteellinen turvallisuustarkastus.

Haittaohjelmakoodin liikennöintiyritykset apujärjestelmään voidaan estää kieltämällä palomuurissa liikennöinti porttiin 1963/tcp.

Lisätietoa

http://www.cert.org/advisories/CA-2002-30.html

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248