Серверы инфраструктуры Fedora и Red Hat были взломаны
Неделю назад в списке рассылки анонсов проекта Fedora был опубликован призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты.
Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами и смогли сформировать цифровые подписи для нескольких фиктивных пакетов с OpenSSH, ключами от RHEL 4 и RHEL 5. В репозиториях Fedora и Red Hat пакетов с нарушенной целостностью отмечено не было.
Причина утечки пароля для подписывания пакетов так и не была установлена. Скрипт для выявления фиктивных openssh пакетов представлен на данной странице (риск получить фиктивное обновление openssh имеют клиенты Red Hat обновляющие систему не через Red Hat Network).
В настоящее время работа всех серверов восстановлена, на взломанных машинах было полностью переустановлено программное обеспечение. Цифровые ключи для подписывания пакетов Fedora и Red Hat совершенно разные и не пересекаются в работе, поэтому утечка обоих ключей маловероятна. Тем не менее, принято решение об изменении всех ключей для формирования цифровой подписи пакетов.
Разработчики проекта CentOS опубликовали информационное письмо, в котором уверили пользователей, что атака на Fedora и RedHat не затронула проект CentOS. Для проверки был проведен аудит системы сборки и подписывания пакетов, также были проанализированы исходные тексты двух последних версий пакета с openssh. Серверы инфраструктуры CentOS находятся за многоступенчатым межсетевым экраном и доступны для входа лишь для небольшого числа разработчикв с заранее оговоренного списка адресов.
Комментарий
-
1. Microsoft, глобально и надежно.
1. http://www.microsoft.com/Rus/Casestudies/CaseStudy-
.aspx?id=451 19 декабря 2006 За последние 6 лет на Лондонской фондовой бирже не было ни одного сбоя; новые системы, работающие на основе технологий корпорации Майкрософт, являются гарантией 100-процентной надежности. Совместно с корпорацией Майкрософт Лондонская фондовая биржа реализует критически важную программу, в которую входит постоянная поддержка. 2. http://www.securitylab.ru/news/359060.php 09 сентября, 2008 Сегодня торговля на Лондонской фондовой бирже (LSE) была приостановлена после того, как в компьютерной системе произошёл сбой
Root, 09-09-2008 12:19
-
2. На свалку истории?
Но тут меня заинтересовал не бытовой факт того, что у опенсорсных девелоперов на джинсах вместо задних карманов - рукава. Меня заинтересовала новость, вышедшая на недавно: http://www.securityfocus.com/news/11532 Sic! Мало того, что поимели одного из самых-самых линуксовых вендоров (всё ж Ред Хат - не Мандадрива), так ещё и как поимели! Цитата: Unknown intruders breached the security of several computers used by Linux firm Red Hat and the Fedora Project, forcing administrators to take the systems offline for over a week, Fedora and Red Hat announced on Friday. “ It's no longer just kids putting up greetz to their friends on your Web site, but attackers -- really parasitic attacks -- focusing on controlling the mechanism through which packages are distributed in an attempt to infect the end users. ” Dan Holden, X-Force Product Manager, IBM Internet Security Systems The most significant breach involved a system used by the Fedora Project to sign the software packages used to automatically update end users' systems. The breach also affected the Fedora Project's database and proxy servers, hosted systems and collaboration network.
light, 24-10-2008 19:54
-
3. 2 На свалку истории?
Заипца. Прорубились снаружи, поимев БД софта, прокси, ряд хостящегося ПО, ПО для совместной работы (никак веб-аську), а главное - сервера, на которых подписывались апдейты для ПО. И всё это админы возвращают в строй в течении более чем недели. Сразу возникает ряд вопросов: 1. Эти люди будут учить кого-то безопасности? 2. Несколько production систем, разноплановых, разово грохнуть - это как же инфраструктура у аж самого Ред Хата сделана, что такое вообще возможно? 3. Восстанавливать более недели - интересно, а пацаны про бэкап что-то слышали? Как можно имея резервные копии (думается, у Ред Хата бабло-то должно быть на системы резервирования) восстанавливать production больше недели?
light, 24-10-2008 19:56
-
4. На свалку истории?!
. Интересно, а закрытый ключ, которым подписывалось ПО - умыкнули? Кто может сказать точно? Ну, обновления ПО ж подписываются - раз это делается на автомате, то ключ присутствует в системе локально. Можно сделать так, чтобы его нельзя было забрать в принципе - но как сделано, мы не знаем, а учитывая общий уровень грамотности (видимый по пунктам 1-3), точно сказать не можем. Если умыкнули закрытый ключ - то веселуха обеспечена! Во-первых можно будет наплодить всякой пакости, которая будет выглядеть как официальный апдейт для Ред Хата. Потому что будет подписана. Во-вторых, Ред Хату надо будет отзывать ключ (положено по правилам - ведь была угроза компрометации - т.е. контроль над системой терялся на какое-то время).
light, 24-10-2008 19:57
-
5. Опенсорс - на свалку истории!!
Другие продолжения темы "как плохо терять электронные ключи", думаю, очевидны и тоже весьма неприятны. Интересно, чем сие закончится? Так и останутся пингвинопетушатники штатными клоунами, собирающими под свои знамена неудавшихся админов, кодеров и прочих мечтателей "как бы мне пабыстраму и ничиво не изучая сразу в эксперты податься" или всё ж честно после стольких лет провалов и неудач продефилируют на свалку истории? Посмотрим...
light, 24-10-2008 19:59