LINUX.ORG.RU

Вслед за kernel.org взломан linux.com

 


0

3

8-го сентября команда linux.com обнаружила взлом, который мог скомпрометировать данные пользователей, включая пароли и почтовые адреса. Команда убедительно просит всех пользователей поменять ssh ключи и пароли, которые вы задействовали на этих сайтах.

Все серверы Linux Foundation будут отключены в ближайшее время, чтобы сделать переустановку.

>>> Подробности

★★★★★

Проверено: mono ()
Последнее исправление: Klymedy (всего исправлений: 2)

Это просто трололо какое то!

expelled ★★
()
Ответ на: комментарий от Xellos

>А почему сервера M$ не взламывают и не компрометируют?

потому что их не существует.

AVL2 ★★★★★
()
Ответ на: комментарий от jackill

ну как обычно :) теперь придеться активно пошевелить задом

W ★★★★★
()
Ответ на: просто МС про это молчит :) от JJackFLASH

а взломщику обязательно себя выдавать ? сиди себе и копайся тихонько :) кроме того, вовсе не обязательно ломать именно сервера, клиентские винды - дырка на дырке, можно и с ними «разбираться» :)

W ★★★★★
()

Да вы че охренели что-ли? Я только лор удалил из закладок. Нет же б...

FollowTheRabbit
()
Ответ на: комментарий от JIesnik

Почему как я зайду на какой бы то ни было сайт, скачаю/зарегистрируюсь/etc. на следующий день выясняется, что его взломали?

Ты испытал на себе могущество Владычицы Лориэна действие эффекта Паули (не путать с принципом его же имени):

Однажды в лаборатории Джеймса Франка в Гёттингене сложный экспериментальный прибор для изучения атомных явлений по совершенно необъяснимой причине вышел из строя. Франк написал о случившемся Паули в Цюрих. В ответ пришло письмо с датской маркой, в котором Паули писал, что он ездил проведать Нильса Бора, и во время загадочного происшествия в лаборатории Франка поезд, в котором ехал Паули, как раз совершал остановку в Гёттингене.

hobbit ★★★★★
()

зеркало git с kernel.org

А не подскажите где можно найти зеркала репозиториев с kernel.org, например qemu-kvm ?

sss123next
()
Ответ на: комментарий от xtraeft

> линк?

Я так понял фразу на kernel.org о том, что они не сумели воспроизвести повышение привилегий на релиз-кандидате. То есть ещё не нашли ошибку в коде, но в общих чертах поняли, что нужно делать.

Kernel.org сейчас не работает.

question4 ★★★★★
()
Ответ на: комментарий от frame

> где про это можно почитать в деталях?

Я сделал такой вывод из краткой новости на kernel.org. Подробности искать пока времени не было.

question4 ★★★★★
()
Ответ на: комментарий от question4

> Kernel.org сейчас не работает.

Уже почти полмесяца. Тому же ораклу чтобы попинать ред хэт, теперь и придумывать ничего не надо...

JustGuest
()
Ответ на: комментарий от Xellos

>А почему сервера M$ не взламывают и не компрометируют?

Эффект неуловимого Джо. Теперь линуксоиды могут приписывать его и виндовсу.

Heretique
()

Тут раз 10 пробежал крик, что мол чего это сервера M$ никто не хакает? Спрашивали - отвечаем!

Сервера на MS взламывают, нехакаемых серверов нет, раз в несколько лет везде проскочит уязвимость. Вот только человек, который способен взломать сервер M$ это точно не юноша бледный со взором горящим в поисках славы или отмщения. Это был бы, скорее всего, взрослый такой дяденька, полтора десятка лет в сфере информационной безопасности, семья, дети. И ему куда приятнее получить у тех же M$ шестизначную сумму в обмен на уязвимость и молчание, чем отдефейсить главную страницу и сесть на 10 лет. Бабло побеждает зло, ребят.

hadagnahash
()

а когда до linux.org.ru дело дойдет?

splinter ★★★★★
()
Ответ на: комментарий от hadagnahash

это был бы, скорее всего, взрослый такой дяденька, полтора десятка лет в сфере информационной безопасности, семья, дети.

о да, угу :)

tazhate ★★★★★
() автор топика
Ответ на: комментарий от zloy_linuxoid

> ну поведай же нам о своей попаболи и кривых руках

Я два года видел несовместимости при апгрейдах(лок юзеров при смене krb библиотек), сегфолты даже в таких простых утилитах, как cp и проч. Это была повседневная работа. А где ты и сколько лет работал с федорой?

crypt ★★★★★
()
Ответ на: комментарий от question4

>Я сделал такой вывод из краткой новости на kernel.org. Подробности искать пока времени не было.

Там речь шла про неизвестный эксплоит (часть его) и расследование, т.е. не факт, что на руках у них оказался именно эксплоит, а не его payload к примеру

frame ★★★
()
Ответ на: комментарий от frame

> Там речь шла про неизвестный эксплоит (часть его) и расследование, т.е. не факт, что на руках у них оказался именно эксплоит, а не его payload к примеру

Вот этот текст из кеша Гугла:

* Security breach on kernel.org


Earlier this month, a number of servers in the kernel.org infrastructure were compromised. We discovered this August 28th. While we currently believe that the source code repositories were unaffected, we are in the process of verifying this and taking steps to enhance security across the kernel.org infrastructure.


What happened?


o Intruders gained root access on the server Hera. We believe they may have gained this access via a compromised user credential; how they managed to exploit that to root access is currently unknown and is being investigated.
o Files belonging to ssh (openssh, openssh-server and openssh-clients) were modified and running live.
o A trojan startup file was added to the system start up scripts
o User interactions were logged, as well as some exploit code. We have retained this for now.
o Trojan initially discovered due to the Xnest /dev/mem error message w/o Xnest installed; have been seen on other systems. It is unclear if systems that exhibit this message are susceptible, compromised or not. If developers see this, and you don't have Xnest installed, please investigate.
o It *appears* that 3.1-rc2 might have blocked the exploit injector, we don't know if this is intentional or a side affect of another bugfix or change.


What Has Been Done so far:


o We have currently taken boxes off line to do a backup and are in the process of doing complete reinstalls.
o We have notified authorities in the United States and in Europe to assist with the investigation
o We will be doing a full reinstall on all boxes on kernel.org
o We are in the process of doing an analysis on the code within git, and the tarballs to confirm that nothing has been modified


The Linux community and kernel.org take the security of the kernel.org domain extremely seriously, and are pursuing all avenues to investigate this attack and prevent future ones.


However, it's also useful to note that the potential damage of cracking kernel.org is far less than typical software repositories. That's because kernel development takes place using the git distributed revision control system, designed by Linus Torvalds. For each of the nearly 40,000 files in the Linux kernel, a cryptographically secure SHA-1 hash is calculated to uniquely define the exact contents of that file. Git is designed so that the name of each version of the kernel depends upon the complete development history leading up to that version. Once it is published, it is not possible to change the old versions without it being noticed.


Those files and the corresponding hashes exist not just on the kernel.org machine and its mirrors, but on the hard drives of each several thousand kernel developers, distribution maintainers, and other users of kernel.org. Any tampering with any file in the kernel.org repository would immediately be noticed by each developer as they updated their personal repository, which most do daily.


We are currently working with the 448 users of kernel.org to change their credentials and change their SSH keys.


We are also currently auditing all security policies to make kernel.org more secure, but are confident that our systems, specifically git, have excellent design to prevent real damage from these types of attacks.


-------------------------------------------------------------------

То есть:

1. Предположительно система неуязвима для атак извне, но злоумышленник с паролем пользователя может стать рутом.

2. Похоже, 3.1-rc2 блокирует «exploit injector». Как можно было прийти к такому выводу? Либо нужно иметь на руках образец программы взломщика, либо 3.1-rc2 должно было выстоять на атакуемом сервере. Или как-то ещё? Я предположил первый вариант.

Кстати, как положено переводить «exploit injector»?

question4 ★★★★★
()
Ответ на: комментарий от question4

Ключевое тут

how they managed to exploit that to root access is currently unknown and is being investigated

It *appears* that 3.1-rc2 might have blocked the exploit injector, we don't know if this is intentional or a side affect of another bugfix or change

Непонятно, что именно у них на руках. Но т.к. записи не идут в хронологии - п.1 не отменяется, т.е. конкретно дыра неизвестна

frame ★★★
()
Ответ на: комментарий от frame

> конкретно дыра неизвестна

Да.

Непонятно, что именно у них на руках.

Да. Но чем это может быть? Последовательность команд из лога/скрипт/бинарник, которая/ый даст рута на старом ядре и не даст на новом? Что-то ещё?

question4 ★★★★★
()

Товарищи, а вас не смущает, что в это же время происходит презентация Win 8? И не является ли эти взломы попыткой потопить набирающего популярность конкурента?

rinsvid ★★
()
Ответ на: комментарий от Dmitry_Sokolowsky

>Это война, ребята. Ломайте сервера майкрософта и яблока — на войне все средства хороши!

Димон, есть культура войны. Или ты как чехи хочешь?

amorpher ★★★★★
()
Ответ на: комментарий от amorpher

У меня обострилась мания преследования.... Я удалил почти рухнувшую убунту (после тройного скачка напряжения покоцался fstab и вообще много левой порнотени было). Снес, и теперь все ставлю из репозитария. Причем с не кошерной бунты перешел на Debian.

Чувствую себя солдатом третьей мировой.

rinsvid ★★
()
Ответ на: комментарий от rinsvid

Блин, водяры взял :(
Сейчас на улице с мужиками с Кисловодска бухнул, они меня даже до банкомата довезли взад-вперёд, офигенные пацаны (по-моему накуренные ещё :) )

amorpher ★★★★★
()
Ответ на: комментарий от amorpher

А я с температурой глинтвейн глушу горячий и ЛОР читаю. . И дебиан напильником пилю..

rinsvid ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.