Traderboersenboard - Einzelnen Beitrag anzeigen

09-10-2002, 09:32

Trojaner in Sendmail

Das Computer Emergency Response Team (CERT) warnte gestern vor dem Einsatz einer Sendmail-Distribution, in die Hacker eine Hintertür integriert haben. Betroffen sind die Sourcecode-Pakete sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz, die ab September vom FTP-Server des Sendmail-Programmierteams bezogen werden konnten. Ein Angreifer hatte sich Ende des letzten Monats Zugang zu dem System verschafft und die vorhandenen Versionen manipuliert.

Beim Einsatz der manipulierten Quellen startet das Trojanische Pferd während des Kompilier-Vorgangs einen Prozess, der über den TCP-Port 6667 Verbindungen zu einer voreingestellten Adresse aufbaut. Von dort aus hat der Angreifer die Möglichkeit, eine Shell vom infizierten Rechner zu erhalten. Dabei kann er den kompilierenden User-Account nutzen. Die Ausführung der fertig übersetzten Software soll nach Angaben des CERT jedoch nicht zur Ausführung des Prozesses auf dem jeweiligen System führen.

Die Security-Organisation empfiehlt als Schutz vor solchen Fallen, Software beim Download durch Prüfung der MD5-Checksumme und PGP-Fingerprints auf ihre Authentizität zu prüfen. Die korrekten Zertifikate veröffentlichte das CERT in seinem Advisory zu dem Vorfall. (ck)

quelle: de.internet.com

09-10-2002, 09:32	#1
saida Gast Beiträge: n/a	Trojaner als Sendemail Trojaner in Sendmail Das Computer Emergency Response Team (CERT) warnte gestern vor dem Einsatz einer Sendmail-Distribution, in die Hacker eine Hintertür integriert haben. Betroffen sind die Sourcecode-Pakete sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz, die ab September vom FTP-Server des Sendmail-Programmierteams bezogen werden konnten. Ein Angreifer hatte sich Ende des letzten Monats Zugang zu dem System verschafft und die vorhandenen Versionen manipuliert. Beim Einsatz der manipulierten Quellen startet das Trojanische Pferd während des Kompilier-Vorgangs einen Prozess, der über den TCP-Port 6667 Verbindungen zu einer voreingestellten Adresse aufbaut. Von dort aus hat der Angreifer die Möglichkeit, eine Shell vom infizierten Rechner zu erhalten. Dabei kann er den kompilierenden User-Account nutzen. Die Ausführung der fertig übersetzten Software soll nach Angaben des CERT jedoch nicht zur Ausführung des Prozesses auf dem jeweiligen System führen. Die Security-Organisation empfiehlt als Schutz vor solchen Fallen, Software beim Download durch Prüfung der MD5-Checksumme und PGP-Fingerprints auf ihre Authentizität zu prüfen. Die korrekten Zertifikate veröffentlichte das CERT in seinem Advisory zu dem Vorfall. (ck) quelle: de.internet.com