Trojanisches Pferd in OpenSSH (Update)

Laut einer E-Mail an das OpenSSH-Entwicklerteam ist die portable Version 3.4p1 von OpenSSH mit einem Trojanischen Pferd infiziert. Die OpenBSD-Entwickler gaben gegenüber heise online inzwischen bekannt, dass auch die Version 3.2.2p1 betroffen ist. Die portablen Versionen von OpenSSH -- der Open-Source-Version der SSH-Protokollsuite (Secure Shell), die kryptographisch abgesicherte Kommunikation in unsicheren Netzen ermöglicht -- werden für Installationen unter anderen Systemen als OpenBSD eingesetzt. Edwin Groothuis hatte die infizierte Version auf ftp.freebsd.org gefunden und umgehend die OpenSSH-Entwickler informiert. Offenbar wurde das Trojanische Pferd auf einem Server von openbsd.org eingeschleust.

Unmittelbar betroffen sind Anwender, die sich OpenSSH 3.4p1 oder 3.2.2p1 kürzlich manuell besorgt und die Version installiert haben, ohne die md5-Checksumme zu überprüfen -- also den Quellcode selbst kompiliert haben. Installationen, die beispielsweise über das FreeBSD-Port-System eingespielt werden, sollten abbrechen, eben weil die Checksumme nicht übereinstimmt. Auch Binärpakete aus anderen Distributionen sind nicht betroffen. Die infizierte Version enthält ein C-Quellcode namens bf-test.c, der bei Einrichtung ein Shell-Script installiert, das dann versucht, eine Verbindung zur IP-Adresse 203.62.158.32 aufzubauen -- der Server wurde allerdings inzwischen neu aufgesetzt, so dass keine Verbindungen mehr möglich sind. (pab)