Einbruch bei Kernel.org
Ein Angreifer hat sich Root-Rechte auf Kernel.org, der Haupt-Distributions-Site für den Linux-Kernel und einige Linux-nahe Software, verschaffen können. Es sei aber unwahrscheinlich, dass Schadcode in den Linux-Quellcode eingebaut wurde.
Ein unbekannter Angreifer hat sich Root-Rechte auf einigen der wichtigsten Server von Kernel.org verschaffen können – der Haupt-Distributions-Seite für den Linux-Kernel und einige Linux-nahe Software. Wie der News-Abschnitt auf der Webseite erläutert, haben die Administratoren den Einbruch am 28. August erkannt.
Der Server war bereits Mitte des Monats durch ungewöhnliches Verhalten aufgefallen; nach einem Neustart und einem Kernel-Update zeigten sich dann Kernel Panics, die schließlich zur Entdeckung des Einbruchs geführt haben. Nach derzeitigem Untersuchungsstand verschaffte sich der Einbrecher über einen kompromittierten User-Account Zugang. Vermutlich hat er sich anschließend über Sicherheitslücken zu Root-Rechten hochgearbeitet – genaueres ist aber bislang nicht bekannt.
Die Administratoren nehmen an, dass die Quellcode-Depots nicht verändert worden; dies werde derzeit aber geprüft. Die Erklärung zum Einbruch betont ferner, der potenzielle Schaden durch einen Einbruch sei bei Kernel.org viel geringer als bei anderen Hostern von Quellcode-Depots. Dies wird mit dem Einsatz von Git für die Kernel-Entwicklung begründet, das für jede Quellcodedatei einen SHA1-Hash habe; einmal veröffentlicht sei es nicht möglich, Dateien zu verändern, ohne dass es bemerkt werde. LWN.net-Chef und Kernel-Hacker Jonathan Corbet erläutert dies in einem Blog-Post bei der Linux-Foundation genauer. Git-Hauptentwickler Junio C Hamano beschreibt in seinem Blog noch ausführlicher, welche Möglichkeiten ein Angreifer hat, ein Git-Depot zu modifizieren.
Wer den Linux-Quellcode mit Git bezieht, könne daher ziemlich sicher sein, keine Version zu erhalten, in die Schadcode eingepflanzt wurde. Das Statement auf Kernel.org macht aber keine konkreten Angaben zur Unversehrtheit der Patches und Tar-Archive mit den Kernel-Quellen, die auf der Frontpage von Kernel.org verlinkt sind. Deren Integrität lässt sich zwar über PGP-Signaturen prüfen – laut der zugehörigen Beschreibung werden diese allerdings auf einem der Kernel.org-Server erzeugt. Ob der Einbrecher alles Nötige im Zugriff hatte, um ein modifiziertes Archiv selbst zu signieren, ist daher derzeit unklar.
(thl)
