SquirrelMail 1.4.13 - a régebbi kiadásokba idegen kódokat csempésztek

Cracker, Black Hat

A SquirrelMail 1.4.11 és 1.4.12 felhasználóinak mielőbb érdemes frissíteniük, mert kiderült, hogy ezeket a csomagokat (valószínűleg) az egyik maintainer feltört account-ján keresztül rosszindulatú támadók módosították. A dologra úgy derült fény, hogy a 1.4.12-es csomagok MD5 sum-ja nem egyezett meg az aktuális csomagéval.

A vizsgálat során kiderült, hogy a kiadás után a csomagot módosították, és abban olyan idegen kódokat helyeztek el, amelynek lehetővé teszik, hogy a támadók a módosított SquirrelMail-en keresztül az áldozat gépére idegen kódokat telepítsenek és futtassanak. Mivel nem csak az 1.4.12-es, hanem az 1.4.11-es csomagot is piszkálták, a projekt úgy döntött, hogy a kavarodás elkerülése érdekében kiadják az 1.4.13-as verziót.

Érdemes azonnal frissíteni azoknak, akik a fent említett verziókat futtatják a SquirrelMail-ből.

Bővebb infók a projekt weboldalán.

( -Atis- | 2007. 12. 16., v – 10:35 )

azt hittem, nyílt forrású cuccnál ilyesmi nem fordulhat elő, mert mindenki elolvassa "a programot" használatbavétel előtt, hiszen így tudja ellenőrizni, nincsen semmiféle rosszindulatú kód a programban, ellentétben a csúnya, zárt, csak binárisan terjesztett szemetekkel, ahol a mocskos gyártó ezt nem teszi lehetővé és telenyomja szpájverrel a stuffot

letoltod a 1.4.12, es a 1.4.13-at, kicsomagolod, es nyomsz egy diffet.
ha meg "fertozott" a 1.4.12 akkor megtalalod. nekem egyedul eztunt gyanusnak: 


@@ -31,7 +31,9 @@
     }

     /* This needs to be first, for all non_options pages */
-    if (defined('PAGE_NAME') && PAGE_NAME=='administrator_options') {
+    //if (!defined('PAGE_NAME') || strpos(PAGE_NAME, 'options') === FALSE) {
+    if (!defined('PAGE_NAME')
+     || (PAGE_NAME != 'administrator_options' && PAGE_NAME != 'options')) {
         $auth = FALSE;
     } else if (file_exists(SM_PATH . 'plugins/administrator/admins')) {
         $auths = file(SM_PATH . 'plugins/administrator/admins');

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nem értem, hogy minek kötözködsz... szó sincs arról, hogy ez 100%-os biztonságot adna, viszont a jelek szerint pillanatokon belül kiderül a disznóság mert egyáltalán ki tud derülni!

És most mesélj nekünk így a tűz körül, kukoricafosztás közben azokról az izgalmas nevű függvényekről amiket anno az NT (bináris) kódjai közt találtak, valami nsa_backdoor_open() és hasonlók voltak.

Ez semmit nem jelent. A kiadáskor nem volt benne, az eredeti forráskód nem érintett, később került bele a letöltésre kirakott csomagokba. Feltehetően december 8 körül.

"we strongly recommend everybody that has downloaded the 1.4.12 package after the 8th December, to redownload the package. "

--
trey @ gépház

> És most mesélj nekünk így a tűz körül, kukoricafosztás közben azokról az izgalmas nevű függvényekről amiket anno az NT (bináris) kódjai közt találtak, valami nsa_backdoor_open() és hasonlók voltak.

ms = evil, emiatt nt-t, illetve egyéb ms terméket nem használunk, veszély nem fenyeget, vírus nincs, hackolni nem lehet. jól mondom?

itt nem erről van szó, de jól trollkodsz és próbálod bizonygatni, hogy a linux userek és kiváltképpen a hup-on fent lévő linux userek mind trollok. Fordított logikával. Nem rossz. Azért vegyük észre, hogy ez volt 7 nap, míg az MS-nél volt olyan bug, ami 286 napig ott figyelt, úgy, hogy az MS tudott(!) róla. Elég ha guglizol fél percet, beírod a megfelelő szöveget és készen is vagy.

És most mesélj nekünk így a tűz körül, kukoricafosztás közben azokról az izgalmas nevű függvényekről amiket anno az NT (bináris) kódjai közt találtak, valami nsa_backdoor_open() és hasonlók voltak.

Fenébe, még a Google-t is benne van az NSA buliban, mert rákeresve a függvényre nulla találatot ad... :))

( gee v | 2007. 12. 17., h – 09:45 )

Ezek szerint korabbi verzio (konkretan Debianbol telepitett 1.4.9 nem erintett). Ugye?

Ha tegyuk fel most egy 1.4.12-es verzio lenne a gepemen, akkor hogy lehetne megtudni, hogy felnyomtak-e? Illetve ha felnyomtak volna, akkor milyen merteku lenne a gond?
Csak a webszerver altal irhato dolgokat kellene nezni?
Vagy ujra kene telepiteni az egesz gepet a biztonsag kedveert?

Gee da szerencsere csak elmeleti kerdes, de elgondolkoztam.

( Huncraft v | 2007. 12. 17., h – 19:30 )

Deja Vu..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Üllj le és kuss legyen!"..