Gestern hatte ich ein debian-Update auf meinem Web-Server gemacht und hinterher lass ich dann auch immer khunter durchlaufen. Als ich die zugehörige Mail heute las, bekam ich einen großen Schrecken.
[rkhunter] host315.stratoserver.net - Daily report Von root An root Datum Fr 22:29 Warning: The file properties have changed: File: /usr/sbin/groupadd Current hash: 6e265bf8276be8cdcfc297f14ecfdb6b44fcc871 Stored hash : 778c0fb94d8b32c93c4a5869c28ad7c82afa4938 Current inode: 33213663 Stored inode: 33211005 Current file modification time: 1487923798 (24-Feb-2017 09:09:58) Stored file modification time : 1447968948 (19-Nov-2015 22:35:48) Warning: The file properties have changed: File: /usr/sbin/groupdel Current hash: 9cd70239a975ab077b4d39764c1bfa52b7540bf8 Stored hash : 93efa2feb1ac5e4c1cab2a1c42fb0a4d6c51b1d5 Current inode: 33213865 Stored inode: 33211006 Current file modification time: 1487923798 (24-Feb-2017 09:09:58) Stored file modification time : 1447968948 (19-Nov-2015 22:35:48) Warning: The file properties have changed: File: /usr/sbin/groupmod Current hash: 27c591572151adec4b2df43b215c12318e678472 Stored hash : 97418818ba9e01aa41554aaa49317200d3411617 Current inode: 33213900 Stored inode: 33211008 Current size: 76116 Stored size: 72020 Current file modification time: 1487923798 (24-Feb-2017 09:09:58) Stored file modification time : 1447968948 (19-Nov-2015 22:35:48) Warning: The file properties have changed: File: /usr/sbin/grpck Current hash: b81b6aff685d53c751c3eea68fd677dea56707c1 Stored hash : 3de02a0ca7a37091b94866023567e73ea1c24b4e Current inode: 33213903 Stored inode: 33211147 Current file modification time: 1487923798 (24-Feb-2017 09:09:58) Stored file modification time : 1447968948 (19-Nov-2015 22:35:48) Warning: The file properties have changed: File: /usr/sbin/nologin Current hash: e6842135d3bffb4c3339ce71195f782801daccac
Eigenartigerweise bekam ich diese Meldung nur von dem einen Webserver. Ich hatte auch anderen Rechner updatet, aber die hatten mit dem Paket kein Problem gemeldet. Ich fand auch weder in den Debian Security Advisorys einen Hinweis auf das passwd-Paket, noch konnte ich auf Google etwas sinnvolles entdecken.
Als erstes verglich ich deshalb die DNS-Ausgaben für www.debian.org und hatte auf beiden Vergleichsrechnern ähnliche Ergebnisse.:
uwe@host315:~$ host www.debian.org www.debian.org has address 130.89.148.14 www.debian.org has address 5.153.231.4 www.debian.org has IPv6 address 2001:610:1908:b000::148:14 www.debian.org has IPv6 address 2001:41c8:1000:21::21:4 uwe@host315:~$ ... root@gneis:~# host www.debian.org www.debian.org has address 5.153.231.4 www.debian.org has address 130.89.148.14 www.debian.org has IPv6 address 2001:610:1908:b000::148:14 www.debian.org has IPv6 address 2001:41c8:1000:21::21:4 root@gneis:~# |
Nach etwas suchen fand ich unter https://www.debian.org/distrib/packages auch die entsprechenden Seite zur passwd-Distribution und auf der entsprechenden Seite sieht man, dass das Paket tatsächlich relativ neu ist:
Sie können die angeforderte Datei aus dem pool/updates/main/s/shadow/-Unterverzeichnis herunterladen:
- security.debian.org/debian-security
Debian-Sicherheitsaktualisierungen werden offiziell nur über security.debian.org verbreitet.
Beachten Sie, dass Sie bei einigen Browsern angeben müssen, dass die Datei als Datei gespeichert werden soll. Bei Firefox oder Mozilla sollten Sie die Umschalttaste halten, wenn Sie auf eine URL klicken.Weitere Informationen über passwd_4.2-3+deb8u3_i386.deb:
Genaue Größe 972942 Byte (950,1 kByte) MD5-Prüfsumme 1430e8082c16fd708d0d0a7ba589bb19 SHA1-Prüfsumme 1f52a2e535eb4c54db77daa0db2d943f0081f8f1 SHA256-Prüfsumme 7750305124dd35da311080920cd2d88ca0fb71ba211b0ea85a494aaac32e55b9
In der Liste sieht man allerdings auch, dass auch andere Hardware-Versionen aktualisiert wurden. Warum aber hatte dieses Paket nur der eine Host nach geladen?:
…
[ ] passwd_4.2-3+deb8u2_amd64.deb 2017-02-24 05:44 948K
[ ] passwd_4.2-3+deb8u2_arm64.deb 2017-02-24 05:44 896K
[ ] passwd_4.2-3+deb8u2_armel.deb 2017-02-24 06:00 907K
[ ] passwd_4.2-3+deb8u2_armhf.deb 2017-02-24 05:59 912K
[ ] passwd_4.2-3+deb8u2_i386.deb 2017-02-24 05:44 950K
[ ] passwd_4.2-3+deb8u2_mips.deb 2017-02-24 05:59 917K
[ ] passwd_4.2-3+deb8u2_mipsel.deb 2017-02-24 06:10 924K
[ ] passwd_4.2-3+deb8u2_powerpc.deb 2017-02-24 05:59 898K
[ ] passwd_4.2-3+deb8u2_ppc64el.deb 2017-02-24 05:44 910K
[ ] passwd_4.2-3+deb8u2_s390x.deb 2017-02-24 05:44 944K
[ ] passwd_4.2-3+deb8u3_amd64.deb 2017-02-24 08:10 948K
[ ] passwd_4.2-3+deb8u3_arm64.deb 2017-02-24 08:10 896K
[ ] passwd_4.2-3+deb8u3_armel.deb 2017-02-24 08:25 907K
[ ] passwd_4.2-3+deb8u3_armhf.deb 2017-02-24 08:25 912K
[ ] passwd_4.2-3+deb8u3_i386.deb 2017-02-24 08:25 950K
…
Die Datei-Daten scheinen aber übereinzustimmen (von der genau einen Stunde Unterschied mal abgesehen). So bin ich zwar immer noch verwundert, dass es nur den einen Web-Host betraff, aber es scheint ja doch seine Richtigkeit zu haben. – Und auf diese Art hatte ich auch gleich mal wieder ein paar URLs updatet. Einige der Webseiten, zu den ich Links in meinen Favoriten gespeichert hatte, scheinen nämlich das zeitliche gesegnet zu haben. (z.B. apt-get.org )
root@host315:~# dpkg --get-selections | grep passwd base-passwd install passwd install root@host315:~# root@host315:~# ls -l /var/cache/apt/archives/passwd*deb -rw-r--r-- 1 root root 972826 Nov 19 2015 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u1_i386.deb -rw-r--r-- 1 root root 972942 Feb 24 09:25 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb root@host315:~# md5sum /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb 1430e8082c16fd708d0d0a7ba589bb19 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb root@host315:~#
Weil ich nun ja aber gelesen hatte, dass das passwd-Paket aus dem shadow-Paket stammt, fand ich auch ein Debian Security Advisorys, in dem aber passwd nicht erwähnt wird:
[SECURITY] [DSA 3793-1] shadow security update
Von Salvatore Bonaccorso
An debian-security-announce@lists.debian.org
Antwort an debian-security-announce-request@lists.debian.org
Datum Fr 20:00
-------------------------------------------------------------------------
Debian Security Advisory DSA-3793-1 security@debian.org
https://www.debian.org/security/ Salvatore Bonaccorso
February 24, 2017 https://www.debian.org/security/faq
-------------------------------------------------------------------------
Package : shadow
CVE ID : CVE-2016-6252 CVE-2017-2616
Debian Bug : 832170 855943
Several vulnerabilities were discovered in the shadow suite. The Common
Vulnerabilities and Exposures project identifies the following problems:
CVE-2016-6252
An integer overflow vulnerability was discovered, potentially
allowing a local user to escalate privileges via crafted input to
the newuidmap utility.
CVE-2017-2616
Tob ias Stoeckmann discovered that su does not properly handle
clearing a child PID. A local attacker can take advantage of this
flaw to send SIGKILL to other processes with root privileges,
resulting in denial of service.
For the stable distribution (jessie), these problems have been fixed in
version 1:4.2-3+deb8u3.
We recommend that you upgrade your shadow packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
Hinterlasse einen Kommentar