debian.org gehackt?

[feltel]

Auf http://www.heise.de/newsticker/data/odi-21.11.03-001/ ist von mehreren Hacks der debian.org-Server zu lesen. Scheint was dran zu sein, da die Server in den letzten paar Tagen tatsächlich schwer zu erreichen waren.

[abi]

Jap, es wird auch wohl bald mal ein Statement rausgehen.

[feltel]

Neuigkeiten: http://cert.uni-stuttgart.de/files/fw/d ... 031121.txt

[srolle]

Jap, es wird auch wohl bald mal ein Statement rausgehen.

Da ist es http://heise.de/newsticker/data/odi-21.11.03-001/

[zyta2k]

*hrm*
Jetzt aber schnell raus mit den Ursachen.

Bei mir laufen diverse Woody Kisten (zum Teil mit "heissen" Daten).

Das ist eine Bittere Pille
Vor allem der Hack des debian-security servers

[Vinc]

Das ist starker Tobak...

Hoffe die Jungs können die Probleme recht bald beseitigen...

[zyta2k]

Das ist starker Tobak...

Das Kraut zu rauchen *uiuiui*

[eagle]

Jetzt aber schnell raus mit den Ursachen.

Darauf bin ich auch sehr gespannt. Es muss aber nicht immer die Software ein Problem haben, da es ja auch so etwas wie menschliches Versagen gibt.

eagle

[Ponder_Stibbons]

Leider ist über die Ursachen noch nichts zu finden. Zumindest finde ich nichts
Gruß Ponder

[pdreker]

Und bis ich nicht genau weiss, wie die da rein gekommen sind, ist hier die Firewall bis auf SSH dicht... Einen Kernel Level Exploit halte ich für unwahrscheinlich...

Patrick

[feltel]

------------------------------------------------------------------------
The Debian Project http://www.debian.org/
Some Debian Project machines compromised press@debian.org
November 21st, 2003
------------------------------------------------------------------------

Some Debian Project machines have been compromised

This is a very unfortunate incident to report about. Some Debian
servers were found to have been compromised in the last 24 hours.

The archive is not affected by this compromise!

In particular the following machines have been affected:

. master (Bug Tracking System)
. murphy (mailing lists)
. gluck (web, cvs)
. klecker (security, non-us, web search, www-master)

Some of these services are currently not available as the machines
undergo close inspection. Some services have been moved to other
machines (http://www.debian.org for example).

The security archive will be verified from trusted sources before it
will become available again.

Please note that we have recently prepared a new point release for
Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been
announced yet, it has been pushed to our mirrors already. The
announcement was scheduled for this morning but had to be postponed.
This update has now been checked and it is not affected by the
compromise.

We apologise for the disruptions of some services over the next few
days. We are working on restoring the services and verifying the
content of our archives.


Contact Information
-------------------

For further information, please visit the Debian web pages at
<http://www.debian.org/> or contact <press@debian.org>.


--
To UNSUBSCRIBE, email to debian-announce-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

[zyta2k]

Kommt evt. in Sarge
http://monk.debian.net/apt-secure/index.html

[Archmage]

Alamierend ist natürlich das:

. klecker (security, non-us, web search, www-master)

Wenn das Security gehackt ist, dann ist natürlich Holland in Not.


Aber was ich sehr interessant finde ist das hier.

Please note that we have recently prepared a new point release for
Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been
announced yet, it has been pushed to our mirrors already. The
announcement was scheduled for this morning but had to be postponed.
This update has now been checked and it is not affected by the
compromise.

[bon]

ich habe heute früh noch schnell n apt-get update gemacht und mich schon gewundert warum zum teil pakete mit der bezeichnung 'r2' dabei waren, nun ist alles klar.

hoffentlich wurden einzelne pakete nicht verändert

ansonsten würde mich interessieren unter welchem system die kompromitierten kisten gelaufen sind? woody vielleicht?

[zyta2k]

woody vielleicht?

/ironic mode
Neee... die wurden von Microsoft gesponsert *smile*

Schönes Weekend wünsch ich.

Hoffentlich sitz ich am Sonntag Abend an die Kiste und die Welt ist wieder in Ordnung

[feltel]

ansonsten würde mich interessieren unter welchem system die kompromitierten kisten gelaufen sind? woody vielleicht?

siehe http://db.debian.org/machines.cgi

[abi]

non-us und security sind wieder online.

[opti]

Klingt vielleicht was dumm aber ....
wochen lang gabs quasi nix zum updaten, nun kam per apt-get update / upgrade
ein ganzer Schwung, kann man nun sicher sein das keine Daten verändert/manipuliert wurden?

[abi]

Klingt vielleicht was dumm aber ....
wochen lang gabs quasi nix zum updaten, nun kam per apt-get update / upgrade
ein ganzer Schwung, kann man nun sicher sein das keine Daten verändert/manipuliert wurden?

das war die Neue Woody Release Candidate (2).
Leider konnten die Entwickler das nicht mehr rechtzeitig
announcen, da sich die Ereignisse wohl "etwas" überschlagen
haben

[abi]

http://www.wiggy.net/debian.xhtml

Für Infos bez. der Server.

[Nimiel]

tut ja irgendwie richtig weh, das zu lesen

[zyta2k]

Frage zu den Paketsignaturen (passt wohl zu diesem Thread).

Beim Bau der Pakete werden ja Signaturfiles gebaut und auch auf den Server hochgeladen (.ASC Files?).

Nur:
Was bringt das ?
Die Pakete einzeln überprüfen ist ja wohl nicht das wahre.

apt-check-sigs bringts für SID nicht wirklich (und ist auch nicht mittels apt holbar)

apt-secure ist nur in Version
0.5.5.1.secure.2 vorhanden wogegen in SID, apt in version 0.5.14 liegt.

Will heissen:
Weiss einer von euch wie man das System am einfachsten durch-checken kann ?

[abi]

Nur:
Was bringt das ?
Die Pakete einzeln überprüfen ist ja wohl nicht das wahre.

Pakete werden nur von Entwicklern ins Archiv geladen,
die einen gültigen [P|G]GP Key haben. In einem .dsc File
befinden sich jeh nach upload (full source oder binary
only) die MD5 Summen der Paketfiles (bzw der Sourcen)

Dieses .dsc file wird vom Entwickler Signiert. Du hast
also somit die Sicherheit das die MD5 Summen in der
.dsc File zu dem jeweiligen Paket passen.

Zum Überprüfen der Signatur brauchst du also nur
die PGP Keys der Debian entwickler, sowie installierte
version von gpg. Die Keys werden in dem Paket
"debian-keyring" zur Verfügung gestellt.

Darüberhinaus kannst du noch Programme wie z.b. "debsums"
verwenden um die einzelnen MD5 Summen der Dateien in
einem Paket überprüfen. Die Listen welche Datei welche
MD5Sum hat wird in "/var/lib/dpkg/info/" gespeichert.

zur pgp / gpg Überprüfung kann man z.b. debsig-verify
verwenden, welches dann beim Downlad die entsprechenden
Pakete anhand der PGP / GPG Signatur überprüft. Mir ist
es allerdings noch nicht gelungen das zum laufen zu
kriegen

Man kann also ziemlich schnell und sicher feststellen,
welche Pakete oder welche Dateien in einem Paket
komprommittiert wurden, indem man die MD5 Summen oder
GPG / PGP Signaturen der Pakete/Dateien prüft.

[zyta2k]

Das war mir schon klar.

Das Problem bei mir stellt sich jedoch, die 1270 installierten Pakete in einem Rutsch zu kontrollieren.

Das wär was ich suche

[abi]

Das war mir schon klar.

Das Problem bei mir stellt sich jedoch, die 1270 installierten Pakete in einem Rutsch zu kontrollieren.

Das wär was ich suche

debsums

Code: Alles auswählen

Description: Verify installed package files against MD5 checksums.
 debsums can verify the integrity of installed package files against
 MD5 checksums installed by the package, or generated from a .deb
 archive.