Warnung vor Trojaner in Sendmail
Das Computer Emergency Response Team [CERT] warnt vor dem Einsatz einer Sendmail-Distribution, in die Eindringlinge eine Hintertür integriert haben.
Betroffen sind die Sourcecode-Pakete sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz, die ab September vom FTP-Server des Sendmail-Programmierteams bezogen werden konnten.
Ein Angreifer hatte sich Ende des letzten Monats Zugang zu dem System verschafft und die vorhandenen Versionen manipuliert.
CERT-WarnungAuthentizität prüfen
Beim Einsatz der manipulierten Quellen startet das Trojanische Pferd während des Kompilier-Vorgangs einen Prozess, der über den TCP-Port 6667 Verbindungen zu einer voreingestellten Adresse aufbaut.
Von dort aus hat der Angreifer die Möglichkeit, eine Shell vom infizierten Rechner zu erhalten. Dabei kann er den kompilierenden User-Account nutzen. Die Ausführung der fertig übersetzten Software soll nach Angaben des CERT jedoch nicht zur Ausführung des Prozesses auf dem jeweiligen System führen.
Die Security-Organisation empfiehlt als Schutz vor solchen Fallen, Software beim Download durch Prüfung der MD5-Checksumme und PGP-Fingerprints auf ihre Authentizität zu prüfen. Die korrekten Zertifikate veröffentlichte das CERT in seinem Advisory zu dem Vorfall.