The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В пакете для организации групповой работы Horde обнаружен бэкдор

14.02.2012 18:03

Разработчики проекта Horde, в рамках которого развивается серия свободных продуктов для организации совместной работы корпоративных пользователей, сообщили о выявлении факта внедрения бэкдора в некоторые из установочных пакетов. Подробности совершения атаки не приводятся, известно лишь то, что пакеты были модифицированы в результате взлома первичного FTP-сервера проекта. Интегрированный бэкдор позволяет удалённому злоумышленнику выполнить произвольный PHP-код на сервере.

Сообщается, что бэкдор был внедрён только в пакеты с Horde 3.3.12, Groupware 1.2.10 и Horde Groupware Webmail Edition 1.2.10. Модифицированные злоумышленниками версии распространялись с начала ноября по 7 февраля. Пользователям указанных версий рекомендуется удостовериться, что их системы не содержат вредоносного кода. Для этого достаточно осуществить поиск в исходных текстах по маске "$m[1]($m[2])".

Производители Linux-дистрибутивов (не сообщается какие именно), поставляющих пакеты, содержащие модифицированный злоумышленниками вариант Horde, уже уведомлены разработчиками и в скором времени выпустят корректирующее обновление. Выпущенный в июне 2011 года Horde 4 и другие релизы проекта проблеме не подвержены. В CVS и Git репозиториях не выявлено подозрительных изменений.

В настоящее время все FTP и PEAR серверы проекта отключены для проведения детального анализа причин и последствий инцидента. Вместо данных систем введены в строй новые серверы, на которых проведена дополнительная работа по усилению безопасности, и на которые загружен архив с пакетами из неподверженного взлому источника.

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Релиз пакета для организации групповой работы Horde 4.0
  3. OpenNews: О возможности создания и внедрения аппаратного бэкдора
  4. OpenNews: Взлом сервера проекта ProFTPD привел ко внедрению бэкдора
  5. OpenNews: Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP
  6. OpenNews: В доступный на официальном сайте архив исходных текстов FTP-сервера vsftpd был внедрен бэкдор
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/33087-horde
Ключевые слова: horde, security, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Клыкастый (ok), 18:45, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    пааанеслась. год назад ещё писал, что при усилении позиций опенсорса собсвенно эксплуатация уязвимостей будет применяться реже, а вот атаки на "первоисточник" - гораздо чаще. там - ахиллесова пята. разработчикам - терпения и внимательности.
     
     
  • 2.3, Аноним (-), 18:47, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну нет же проблем если дистрибостроители верифицируют сорцы используя ЭЦП.
     
     
  • 3.4, rusty_angel (ok), 19:01, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А откуда дистростроители берут исходники? С уже скомпрометированных серверов проектов. Вот если все будут вместе с архивами выкладывать контрольные суммы…
     
     
  • 4.6, arisu (ok), 19:05, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А откуда дистростроители берут исходники?

    из окаменелостей. ну что стоит девелоперам перестать раздавать окаменелости и вместо этого просто публиковать sha релизного коммита?

     
  • 4.7, Lain_13 (?), 19:20, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Git не был скомпрометирован. Сломали только FTP.
     
  • 4.9, Аноним (-), 19:31, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.
     
     
  • 5.23, klalafuda (?), 21:35, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Во люди. Пишут же про ЭЦП. Контрольную сумму легко подделать, ЭЦП - нет (если рядом приватные ключи не раскидывать). И ничего страшного нет в том чтобы публиковать релиз. Да хоть патчи (с ЭЦП) публикуйте в таком случае.

    А если приватный ключ лежит рядом с password.txt из которого по всей видимости и увели аки на FTP?

     
     
  • 6.38, rain87 (?), 12:02, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    то ссзб, очевидно
     
     
  • 7.51, Клыкастый (ok), 20:21, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > то ссзб, очевидно

    от этого не легче

     
  • 4.21, FFASM (ok), 21:16, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже давно и делается всеми, кто пользуется git.
     
  • 4.44, Аноним (-), 15:17, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешает подменить запись о контрольной сумме на странице проекта?
     
     
  • 5.46, Аноним (-), 15:45, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Речь не о контрольной сумме, а о подписывании кода личной подписью разработчика, и последующей верификации авторами дистрибутивов.
     
     
  • 6.48, Аноним (-), 15:47, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ^ пардон, не посмотрел кому отвечаю.
     
  • 4.49, Клыкастый (ok), 16:06, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я предлагаю посмотреть в общем и целом. Проблема стоит  так, что опенсорс более уязвим именно на стадии написания и распространения исходников. И контрольные суммы - это даже не тень решения проблемы в целом.
    - в проект надо набирать людей. надо как-то проверять их самих и требования к рабочему месту. это раз.
    - разработчик должен иметь подпись.
    - проект должен уметь работать с подписями и проверять валидность кода.
    - должна быть секурити тим.
    - тот, кто код берёт, должен иметь возможность проверить его аутентичность.

    в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.


     
     
  • 5.55, Анон (?), 14:21, 16/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > в общем и целом это уже совсем не пионэрство "пишу для удовольствия", это очень серьёзно. и требует слаженного взаимодействия между всеми участниками. но этим заниматься не хочется, хочется же побегать босиком за Столлманом и покидаться какашками в BSD.

    Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик. Столлман же описывает модель распространения, а не разработки.

     
     
  • 6.56, Клыкастый (ok), 22:47, 16/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то, базарная разработка - это Торвальдс как популяризатор и Реймонд как теоретик.

    тем не менее именно линукс паровоз опенсорса.

    > Столлман же описывает модель распространения, а не разработки.

    описал он её уже давно, и за это ему спасибо гигантское. сейчас он описывает, как все должны жить. это не модель разработки, это проповедь.

     
  • 3.47, Аноним (-), 15:46, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В таком случае все есть вероятность заражения исходников на машине разработчика, до подписывания.
     

  • 1.2, Аноним (-), 18:46, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Еще один аргумент за использование цифровой подписи.
     
  • 1.5, arisu (ok), 19:04, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    поэтому порочную практику «публикования релизов» давно пора отменить. вместо этого указывать на сайте команду для гита, которая вытащит именно то, что девелоперы назвали релизом.
     
     
  • 2.8, skJ (?), 19:29, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к очередной _cvs_system_, ню ню
     
     
  • 3.12, arisu (ok), 19:51, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а всем желающим попользоватся активно ставить себе бегом клиента для коннекта к
    > очередной _cvs_system_, ню ню

    скажи мне, милый друг: сколько этих самых желающих таки тащат тарболы с офсайта, а не берут из репозиториев своих дистрибутивов? и если уж они таки тащат тарболы, то для них не составит труда взять не тарбол, а срез гита.

    но ты вряд ли об этом подумал, у тебя типичная психология диванного мыслителя: «я-то, конечно, понимаю, как это и что, но вот люди — люди, увы, не поймут…»

     
  • 3.50, Клыкастый (ok), 16:15, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > а всем желающим попользоватся активно ставить себе бегом клиента для коннекта

    apt-get отказывается ставить такие страшные вещи?

    > к очередной _cvs_system_, ню ню

    cvs, svn, git, mercurial. нет, я понимаю, что для рая на земле надо только apt-get, но у нас, обитателей мрачных лабиринтов соурс-бейзед, оно уже стоит. да. и я больше скажу. не будучи программистом как таковым приходится знать все четыре. хотя бы на уровне терминологии и общих принципов. и ты знаешь, ещё никто не умер. хотя я понимаю, проблема не в apt-get install mercurial, проблема потом разбираться. может случиться переполнение памяти ;)

     
  • 2.10, Crazy Alex (ok), 19:35, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же. Ну ладно, при взломе гит почует, что контрольные суммы изменились, а остальные версионники? Навскидку еще штук пять вспомнить можно (svn, mercurial, bazaar, fossil, darcs) - из них хоть половина целостность проверяет?
     
     
  • 3.11, анон (?), 19:39, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    пользуйтесь гитом - и будет безопасно :)
    а также гораздо более удобно и функционально (имхо)
     
  • 3.13, arisu (ok), 19:55, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    (задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в любимые. то, что где-то фичи нет — не причина сидеть и плакать, это повод допилить фичу туда, где её нет. ну право, пора уже что-то с окаменелыми тарболами делать. ну, то есть, не «что-то», а «забыть о них в большинстве случаев».

    p.s. централизованые системы я вообще тут не рассматриваю: это такая же окаменелая фигня, как и тарболы.

     
     
  • 4.52, Клыкастый (ok), 20:24, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > (задумчиво) значит, надо переходить на те, которые проверяют. или допиливать проверки в
    > любимые. то, что где-то фичи нет — не причина сидеть и
    > плакать, это повод допилить фичу туда, где её нет.

    истинно так. но легко свести лошадь к воде, но невозможно заставить её пить. фичи напишут, ещё бы на них не забивали.

     
  • 3.16, _Vitaly_ (ok), 20:12, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Упс, не туда ответ воткнулся. Это вам https://www.opennet.ru/openforum/vsluhforumID3/82997.html#15
     
  • 3.20, Аноним (-), 20:32, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А в чем принципиальная разница? Ну поломают сервер с репозиторием - результат тот же.

    Ага, иди разломай гит так чтобы потом 100500 разработчиков не заметило этого. Удачи.

     
     
  • 4.24, Crazy Alex (ok), 21:38, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да довольно легко на самом деле - если больше одного человека имеет право на пуш лишний коммит с большой вероятностью даже замечен особо не будет. Ну обновилось что-то. Для достаточно большого проекта - пройдёт со свистом.
     
     
  • 5.30, Michael Shigorin (ok), 23:02, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > если больше одного человека имеет право на пуш

    ...то это уже SVN какой-то.

     
  • 2.26, Аноним (-), 22:56, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > поэтому порочную практику «публикования релизов» давно пора отменить. вместо
    > этого указывать на сайте команду для гита, которая вытащит именно то,
    > что девелоперы назвали релизом.

    Сравним:
    Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn, cvs, ...
    Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это всегда git.
    Тарболл можно подписать. Чем этот вариант вам не понравился? Обычно подписывают с помощью gpg. Способ проверки всегда одинаков, будь это хоть бинарник. Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?

     
     
  • 3.31, arisu (ok), 23:05, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    (пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде бы и скрипты давно придумали — а толку ноль… для этих ваших разных scs и билд-контролей можно скрипт написать. один раз. положить к себе в репозиторий. и больше не мучаться. попутно получив возможность проверять не только тарбол, который авторы выложить соизволили.

    дала природа мозг, а зачем — пояснить забыла…

     
     
  • 4.34, Аноним (-), 00:02, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > (пожимает плечами) о боги, человек, ну что же вы такие линейные-то? вроде
    > бы и скрипты давно придумали — а толку ноль… для этих
    > ваших разных scs и билд-контролей можно скрипт написать. один раз. положить
    > к себе в репозиторий. и больше не мучаться. попутно получив возможность
    > проверять не только тарбол, который авторы выложить соизволили.
    > дала природа мозг, а зачем — пояснить забыла…

    Я совершенно не понял вашего возмущения. Наверное, мы с разными окружениями работаем.

     
  • 3.53, Клыкастый (ok), 20:32, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> поэтому порочную практику «публикования релизов» давно пора отменить. вместо
    >> этого указывать на сайте команду для гита, которая вытащит именно то,
    >> что девелоперы назвали релизом.
    > Сравним:
    > Вы предлагаете скачивать из $VCSNAME. При этом это может быть git, svn,
    > cvs, ...
    > Нужно всегда знать, как проверять "релиз" в очередной VCS. Хорошо, если это
    > всегда git.

    в упор не вижу проблемы. md5/sha в портах/портежах проверяются, никто не парится. так же можно и подпись проверять.


    > Вы предлагаете мне заочно стать разработчиком, хотя я ничего и не разрабатываю обычно?

    исходники вам зачем тогда? если нужны - нет же проблем разобраться?

     
  • 2.29, Michael Shigorin (ok), 23:00, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > поэтому порочную практику «публикования релизов» давно пора отменить.

    Да ну, тарболы порой лучше полной истории.

    > вместо этого указывать на сайте команду для гита, которая вытащит именно то,
    > что девелоперы назвали релизом.

    Бишь аннотированный и (крайне желательно) подписанный тег.

     
     
  • 3.32, arisu (ok), 23:08, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> поэтому порочную практику «публикования релизов» давно пора отменить.
    > Да ну, тарболы порой лучше полной истории.

    по-моему, у всех нормальных scs есть возможность не качать полную историю. зато — в отличие от тарбола — можно взять и проверить любой интересный срез, а не только то, что на сайте положили.

    >> вместо этого указывать на сайте команду для гита, которая вытащит именно то,
    >> что девелоперы назвали релизом.
    > Бишь аннотированный и (крайне желательно) подписанный тег.

    ну да. это уже частности организации конкретного процесса.

    впрочем, «релизы» как таковые — тоже пережитки прошлого. зачем? «коммит xyz — стабильный коммит». чего ради релизы выпускать, номерами заморачиваться?

     

  • 1.15, _Vitaly_ (ok), 20:11, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    google "%myvcs% sign commit"

    git/mercurial/bazaar точно умеют коммиты подписывать. И на сервисах типа гитхаба генерация архивов интегрирована. C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.

     
     
  • 2.25, klalafuda (?), 22:45, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.

    Факт!

    ftp://ftp.mozilla.org/pub/firefox/releases/latest-10.0/source/
    ftp://ftp.kde.org/pub/kde/stable/latest/src/
    ftp://ftp.gnome.org/pub/gnome/sources/
    ftp://ftp.gnu.org/pub/gnu/
    .............

     
     
  • 3.27, Аноним (-), 22:58, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> C выкладыванием на ftp пацаны реально от жизни отстали. Так не делают.
    > Факт!
    > ftp://ftp.mozilla.org/pub/firefox/releases/latest-10.0/source/
    > ftp://ftp.kde.org/pub/kde/stable/latest/src/
    > ftp://ftp.gnome.org/pub/gnome/sources/
    > ftp://ftp.gnu.org/pub/gnu/
    > .............

    У большинства есть http-зеркала, откуда качать зачастую намного удобнее, чем выкачивать с ftp, обычно без многопоточной загрузки (ftp ограничивают это, уже за это его пора бы отправить на свалку).

     
     
  • 4.28, Аноним (-), 22:59, 14/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >ftp сервера обычно ограничивают это,
     

  • 1.22, Аноним (-), 21:24, 14/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    7 февраля какого года?
     
  • 1.35, Аноним (-), 08:23, 15/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему на kernel.org все исходники имеют свои цифровые подписи, а тут никто не позаботился? Чеще делать,чаще проверять - вот и все !)
     
     
  • 2.40, Аноним (-), 13:01, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Почему ты считаешь, что цифровая подпись хоть что-то гарантирует?

    В концепции PKI важна не цифровая подпись сама по себе, а то, кто ее ставит. И доверяешь ли ты тому, кто подписывает. Причем лично я считаю, что понятия "доверие" и "безопасность" ортогональны. Нет доверия. Есть знание.

     
     
  • 3.42, Michael Shigorin (ok), 13:37, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет доверия.
    > Есть знание.

    Сколько будет два плюс два?

     
     
  • 4.43, arisu (ok), 14:26, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Нет доверия.
    >> Есть знание.
    > Сколько будет два плюс два?

    например, 11.

     
  • 4.45, фыва (?), 15:34, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    2+2=22
     
  • 4.54, R (?), 20:36, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Нет доверия.
    >> Есть знание.
    > Сколько будет два плюс два?

    А сколько Вам надо? (С) ;)


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру