debian.org gehackt [Update]
Einige Debian-Server wurden gehackt, der größte Teil des Software-Archivs ist allerdings nicht kompromittiert.
Erste Gerüchte gingen seit heute morgen um, jetzt ist es von den Projektmitgliedern bestätigt: Einige der Server des Linux-Distributionsprojekts Debian wurden in den letzten 24 Stunden gehackt, daher auch die bereits gemeldeten Probleme mit www.debian.org.
Die gute Nachricht immerhin: Das Haupt-Softwarearchiv (main) ist nicht kompromittiert. Das seit gestern Nacht verfügbare, noch nicht offiziell angekündigte Update auf Debian 3.0R2 ist nicht betroffen.
Eingebrochen wurde in die Server mit dem Bug Tracking System (master), den Mailing-Listen (murphy), den Web-Seiten und dem CVS (gluck) sowie den Security- und Non-US-Paketen und der Suche über die Webseiten (klecker). Einige dieser Dienste sind jetzt abgeschaltet, andere sind auf andere Server umgezogen.
Das Security-Archiv ist momentan vom Netz; die Debian-Maintainer arbeiten an der Überprüfung der Pakete. Weitere Informationen will man auf www.debian.org bereitstellen.
[Update:]
Martin Schulze, Mitglied des Sicherheits-Teams und verantwortlich für die aktuelle stable-Release, erklärte gegenüber c't, Debian-Anwender müssten nicht befürchten, von dem gehackten Security-Server manipulierte Software-Pakete heruntergeladen zu haben. Die letzten Änderungen bei den Security-Updates datiertem vom 17. November; seitdem habe sich auf dem Server nichts mehr geändert.
Allerdings wisse man noch nicht, auf welchem Weg der Einbruch in die Debian-Systeme erfolgt sei: "Ich kann nicht ausschließen, dass in der normalen Software ein schwerwiegendes Problem liegt, das wir noch nicht korrigiert haben", meinte Schulze.
Die Performance-Probleme, die vor einigen Tagen auf www.debian.org aufgetreten sind, haben laut Schulze nichts mit dem Einbruch zu tun. Grund dafür seien Schwierigkeiten bei der Netzwerkanbindung des Webservers gluck bei HP gewesen. Da bei Auftreten der Schwierigkeiten bereits eine Lösung abzusehen war, habe man darauf verzichtet, www.debian.org auf einen anderen Server umzuleiten, wie es heute morgen aufgrund des Einbruchs in gluck nötig wurde. (odi)
