Biztonsági incidens a Fedora infrastruktúrájában

AlmaLinux, CentOS, Fedora, Red Hat, Rocky Linux

Jared K. Smith tegnap arról számolt be, hogy az egyik Fedora hozzájáruló account-ja biztonsági szempontból sérült. A felhasználó miután maga észlelte a problémát, értesítette a Fedora Infrastructure Team-et, amely vizsgálatba kezdett. A vizsgálat azzal zárult, hogy a felhasználó fiókjához valóban illetéktelenek fértek hozzá. A vizsgálatot végző csapatnak olyan bizonyítékok kerültek birtokába, amelyek arra utalnak, hogy felhasználó azonosító adataihoz kívülről fértek hozzá, és nem a Fedora infrastruktúrájának sikeres támadásával szerezték azokat meg.

A kérdéses felhasználó nem volt tagja sem sysadmin jogú, sem kiadásért felelős pozíciót betöltő csoportnak. A felhasználónak a következő jogai voltak:

  • SSH to fedorapeople.org (user permissions are very limited on this machine).
  • Push access to packages in the Fedora SCM.
  • Ability to perform builds and make updates to Fedora packages.

A vizsgálat után a Fedora projekt úgy hiszi, hogy a biztonsági incidens nem érint egy Fedora csomagot sem, illetve, hogy más hozzájáruló fiókja nem sérült.

A részletek itt.

( Jason v | 2011. 01. 26., sze – 09:22 )

users...

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( LGee | 2011. 01. 26., sze – 10:55 )

> más hozzájáruló fiókja nem sérült.

Hacsak valaki le nem ejtett egy asztalt.

( Exit | 2011. 01. 26., sze – 10:59 )

"Fedora contributors are strongly encouraged to choose a strong FAS password. Contributors should *NOT* use their FAS password on any other websites or user accounts. If you receive an email from FAS notifying you of changes to your account that you did not make, please contact the Fedora Infrastructure team immediately via admin @fedoraproject.org."

Csak nem egy (ma már klasszikusnak mondható) spoofing-nak esett áldozatul?

( sh4d0w808 | 2011. 01. 26., sze – 10:59 )

Hiszik, vagy tudják, hogy nem történt "komolyabb" baj? Ha jól emlékszem, ez már nem az első eset a Fedora háza táján...

-------------------------
Trust is a weakness...

hat azert a commitokat/pushokat jo alaposan atnezik gondolom.
ha be tud pakolni valami backdoort, vagy akar csak egy debian-openssl jellegu commentet( http://xkcd.com/424/ ) a forrasba, es abbol release lesz, az eleg sulyos imo.
legalabbis en leszarom, ha nekik ellopjak a user adatbazisukat, vagy rootig torik a szervereket, de ha az o hozzanemertesuk miatt az en rendszerem kompromittalodik, az mar igencsak nem mind1.
persze maga a teny is elegge aggaszto, hogy mar a masodik olyan eset, amikor lehetsegesse valt, hogy fertozott csomagok keruljenek a hivatalos repoba.

Tyrael

"Ability to perform builds and make updates to Fedora packages." - lehet, hogy a rendszeren önmagában alacsony jogosultsága volt, de azért ez itt egyáltalán nem megnyugtató, pláne, ha utána azt mondják, hogy "azt hiszik"...

-------------------------
Trust is a weakness...

ez már nem az első eset a Fedora háza táján...

Nekem is ez ugrott be elsőnek. Gondolom az igazi cél az lenne, hogy kiskaput tegyenek az RHEL kódjába.
Kíváncsi lennék, hogy más disztróknál milyen gyakran fordulnak elő hasonló esetek. A Fedora-nál ez a 2., amiről tudunk. A Debian-nal is volt egy, amiből ráadásul release is lett. Ubuntu? openSUSE? Gentoo? Slackware? BSD-k? Android?

Máshol is fordulnak elő, max. nem kap nagy visszhangot. Az OpenBSD csapat szervereit is legalább háromszor feltörték már (egyszer az OpenSSH forrásba backdoort is raktak).

Mindenesetre amíg az agyontesztelt csudaenterspájz ilyen és ehhez hasonló, '90-es évek sebezhetőségeit idéző biztonsági hibákkal jön ki, addig nincs szükség kiskapura...

És? Nem csak szerver-oldali támadásokból áll a világ. Kliens-oldalinál pedig ez bőven elég lehet egy megszerzett user shell esetén. Az apache kontextusban meg legrosszabb esetben futtatni kell egy kernel exploitot, ami kompletten kikapcsolja az egész selinux védelmet és csoki.

( Nyosigomboc v | 2011. 01. 26., sze – 15:34 )

Ugy latom valakinek nagyon nem tetszett az uj eth szamozasi mod, ha ilyenekre kepes miatta. :)

--
Auto correct can go straight to He'll.

( zeller | 2011. 01. 26., sze – 19:25 )

Valaki fordítsa már le azt, amit ebből sting kanyarított, és küldje el a Fedora illetékeseinek - mellékelve az aktualice érvényes hazai médiaszabályozást :-) illene, hogy valaki helyrerakja ezt a ferdítófirkászt...

Mondjuk tény hogy elég elfogult a srác, de nekem az ő irományai sem visszatetszőbbek annál, mint amikor egyes Linux-fanok mindenféle ostoba és hazug legendákat terjesztenek szeretett rendszerükről. Gondolok itt pl. a klasszikus "sokkal biztonságosabb mint a Windows" és társai hülyeségekre.