[linux-l] Rehabilitation fuer Fedora 1.91
Olaf 'Rübezahl' Radicke
olaf_rad at gmx.de
Mi Apr 14 16:16:29 CEST 2004
On Wednesday 14 April 2004 14:17, Torsten Werner wrote:
> Am 14. April 2004 schrieb Olaf 'Rübezahl' Radicke:
> > Ich versteige mich mal zu
> > der Behauptung, der Einbruch beim Debian-Server hätte
> > nicht passieren können wenn es da ein SELinux-Kernel
> > gegeben hätte.
>
> Reines Wunschdenken, SELinux hätte kein bisschen geholfen.
Da währe ich mir nicht so sicher. Auf Pro-Linux hies es:
---- schnipp -----
Abschlussbericht zum Einbruch in die Debian-Server
Gesendet von Brian Miculcy am Mi, 3. Dez 2003 um 10:56
Das Debian-Team hat gestern den Abschlussbericht zum Einbruch in die
Debian-Server veröffentlicht.
Es ist jetzt klar, dass die Angreifer sich über ein gesnifftes Passwort
Zugriff auf den Server "klecker" verschafften (19. Nov. 2003/17:00 Uhr UTC).
Von dort aus wurde mittels eines Exploits ein Kernel-Fehler (ein Fehler im
Systemaufruf do_brk) dazu benutzt, Zugriff auf den vollen Adressraum des
Kernels zu erhalten und somit zu Root-Rechten zu gelangen. Danach wurde sich
mit dem selben Passwort auf "master" eingeloggt (19. Nov. 2003/17:20 Uhr
UTC). Da der Server "murphy" diesen Login-Account nicht akzeptierte, wurde
ein Service-Account von "master" dazu benutzt, sich auf "murphy" einzuloggen
(19. Nov. 2003/18:30 UTC). Zuletzt konnte sich mit einem neu gesnifften
Passwort in den Server "gluck" eingeloggt werden (20. Nov. 2003/20:54 UTC).
Bemerkt wurde das ganze erstmals am 20. Nov. 2003/20:00Uhr UTC, als das
Admin-Team Kernel-Probleme auf "master" und "murphy" feststellte.
----- schnapp ------
Das gesnifftes Passwort hätte dem Angreifer bei SELinux nichts
genutzt. Weil er dem Kernel keine Signale hätte senden können.
selbst wenn der das Root-Passwort gesnifft hätte.
Olaf
Mehr Informationen über die Mailingliste linux-l