Passwort-Module von SquirrelMail infiltriert
Anders als zunächst versichert, wurden beim Einbruch in den Webserver des Open-Source-Projekts SquirrelMail im Juni doch mehrere zentrale Plug-ins kompromittiert.
Als der Einbruch in den Webserver des Open-Source-Projekts SquirrelMail Ende Juni bekannt wurde, hatten die Betreiber zunächst versichert, man glaube nicht, dass dabei Plug-ins modifiziert worden seien. Doch jetzt heißt es plötzlich, dass die Angreifer folgende Erweiterungen mit zusätzlichem Code versehen haben:
- sasql-3.2.0
- multilogin-2.4-1.2.9
- change_pass-3.0-1.4.0
Die neuen Versionen protokollieren unter anderem Passwörter mit und verschicken diese an einen externen Server.
Konkretere Angaben, woran man eine infizierte Version eines Plug-ins erkennen kann, fehlen ebenso wie eine Erklärung, warum es über einen Monat gedauert hat, diese Spionageaktivitäten zu entdecken. Auch in einer Mail auf der Mailingliste ist lediglich diffus von Konflikten bei der Zeitplanung und Kommunikationsproblemen als Ursache für die Server-Auszeit die Rede.
Der Verlautbarung des SquirrelMail-Projekts zufolge sollte jeder, der eines der betroffenen Module einsetzt, dieses sicherheitshalber neu installieren. Die zum Download bereitgestellten, sauberen Versionen haben die folgenden MD5-Summen:
| a492922e5b0d2245d4e9bc255a7c5755 | sasql-3.2.0.tar.gz |
| b143f2dc82f9e98dd43c632855255075 | multilogin-2.4-1.2.9.tar.gz |
| 2cff7c5d4f6f5d8455683bb5d96bb9fe | change_pass-3.0-1.4.0.tar.gz |
Ob die sauberen Pakete auf dem Server vor dem Einbruch die gleichen Werte lieferten, lässt sich der Ankündigung nicht entnehmen. Der stümperhafte Umgang mit diesem GAU legt jedenfalls nahe, den Einsatz von SquirrelMail noch einmal grundsätzlich zu überdenken.
Siehe dazu auch:
- SECURITY: SquirrelMail Webserver Compromise Update, and Plugin Status, von Jonathan Angliss, SquirrelMail
- Webserver des Open-Source-Projekts SquirrelMail gehackt, News auf heise Security
(ju)
