passwd_4.2-3 und rkhunter
Gestern hatte ich ein debian-Update auf meinem Web-Server gemacht und hinterher lass ich dann auch immer khunter durchlaufen. Als ich die zugehörige Mail heute las, bekam ich einen großen Schrecken.
[rkhunter] host315.stratoserver.net - Daily report
Von root
An root
Datum Fr 22:29
Warning: The file properties have changed:
File: /usr/sbin/groupadd
Current hash: 6e265bf8276be8cdcfc297f14ecfdb6b44fcc871
Stored hash : 778c0fb94d8b32c93c4a5869c28ad7c82afa4938
Current inode: 33213663 Stored inode: 33211005
Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
File: /usr/sbin/groupdel
Current hash: 9cd70239a975ab077b4d39764c1bfa52b7540bf8
Stored hash : 93efa2feb1ac5e4c1cab2a1c42fb0a4d6c51b1d5
Current inode: 33213865 Stored inode: 33211006
Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
File: /usr/sbin/groupmod
Current hash: 27c591572151adec4b2df43b215c12318e678472
Stored hash : 97418818ba9e01aa41554aaa49317200d3411617
Current inode: 33213900 Stored inode: 33211008
Current size: 76116 Stored size: 72020
Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
File: /usr/sbin/grpck
Current hash: b81b6aff685d53c751c3eea68fd677dea56707c1
Stored hash : 3de02a0ca7a37091b94866023567e73ea1c24b4e
Current inode: 33213903 Stored inode: 33211147
Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
File: /usr/sbin/nologin
Current hash: e6842135d3bffb4c3339ce71195f782801daccac
Eigenartigerweise bekam ich diese Meldung nur von dem einen Webserver. Ich hatte auch anderen Rechner updatet, aber die hatten mit dem Paket kein Problem gemeldet. Ich fand auch weder in den Debian Security Advisorys einen Hinweis auf das passwd-Paket, noch konnte ich auf Google etwas sinnvolles entdecken.
Als erstes verglich ich deshalb die DNS-Ausgaben für www.debian.org und hatte auf beiden Vergleichsrechnern ähnliche Ergebnisse.:
uwe@host315:~$ host www.debian.org
www.debian.org has address 130.89.148.14
www.debian.org has address 5.153.231.4
www.debian.org has IPv6 address 2001:610:1908:b000::148:14
www.debian.org has IPv6 address 2001:41c8:1000:21::21:4
uwe@host315:~$
...
root@gneis:~# host www.debian.org
www.debian.org has address 5.153.231.4
www.debian.org has address 130.89.148.14
www.debian.org has IPv6 address 2001:610:1908:b000::148:14
www.debian.org has IPv6 address 2001:41c8:1000:21::21:4
root@gneis:~# |
uwe@host315:~$ host www.debian.org
www.debian.org has address 130.89.148.14
www.debian.org has address 5.153.231.4
www.debian.org has IPv6 address 2001:610:1908:b000::148:14
www.debian.org has IPv6 address 2001:41c8:1000:21::21:4
uwe@host315:~$
...
root@gneis:~# host www.debian.org
www.debian.org has address 5.153.231.4
www.debian.org has address 130.89.148.14
www.debian.org has IPv6 address 2001:610:1908:b000::148:14
www.debian.org has IPv6 address 2001:41c8:1000:21::21:4
root@gneis:~#
Nach etwas suchen fand ich unter https://www.debian.org/distrib/packages auch die entsprechenden Seite zur passwd-Distribution und auf der entsprechenden Seite sieht man, dass das Paket tatsächlich relativ neu ist:
Sie können die angeforderte Datei aus dem
pool/updates/main/s/shadow/-Unterverzeichnis herunterladen:
- security.debian.org/debian-security
Debian-Sicherheitsaktualisierungen werden offiziell nur über security.debian.org verbreitet.
Beachten Sie, dass Sie bei einigen Browsern angeben müssen, dass die Datei als Datei gespeichert werden soll. Bei Firefox oder Mozilla sollten Sie die Umschalttaste halten, wenn Sie auf eine
URL klicken.
Weitere Informationen über passwd_4.2-3+deb8u3_i386.deb:
In der Liste sieht man allerdings auch, dass auch andere Hardware-Versionen aktualisiert wurden. Warum aber hatte dieses Paket nur der eine Host nach geladen?:
…
[ ] passwd_4.2-3+deb8u2_amd64.deb 2017-02-24 05:44 948K
[ ] passwd_4.2-3+deb8u2_arm64.deb 2017-02-24 05:44 896K
[ ] passwd_4.2-3+deb8u2_armel.deb 2017-02-24 06:00 907K
[ ] passwd_4.2-3+deb8u2_armhf.deb 2017-02-24 05:59 912K
[ ] passwd_4.2-3+deb8u2_i386.deb 2017-02-24 05:44 950K
[ ] passwd_4.2-3+deb8u2_mips.deb 2017-02-24 05:59 917K
[ ] passwd_4.2-3+deb8u2_mipsel.deb 2017-02-24 06:10 924K
[ ] passwd_4.2-3+deb8u2_powerpc.deb 2017-02-24 05:59 898K
[ ] passwd_4.2-3+deb8u2_ppc64el.deb 2017-02-24 05:44 910K
[ ] passwd_4.2-3+deb8u2_s390x.deb 2017-02-24 05:44 944K
[ ] passwd_4.2-3+deb8u3_amd64.deb 2017-02-24 08:10 948K
[ ] passwd_4.2-3+deb8u3_arm64.deb 2017-02-24 08:10 896K
[ ] passwd_4.2-3+deb8u3_armel.deb 2017-02-24 08:25 907K
[ ] passwd_4.2-3+deb8u3_armhf.deb 2017-02-24 08:25 912K
[ ] passwd_4.2-3+deb8u3_i386.deb 2017-02-24 08:25 950K
…
Die Datei-Daten scheinen aber übereinzustimmen (von der genau einen Stunde Unterschied mal abgesehen). So bin ich zwar immer noch verwundert, dass es nur den einen Web-Host betraff, aber es scheint ja doch seine Richtigkeit zu haben. – Und auf diese Art hatte ich auch gleich mal wieder ein paar URLs updatet. Einige der Webseiten, zu den ich Links in meinen Favoriten gespeichert hatte, scheinen nämlich das zeitliche gesegnet zu haben. (z.B. apt-get.org )
root@host315:~# dpkg --get-selections | grep passwd
base-passwd install
passwd install
root@host315:~#
root@host315:~# ls -l /var/cache/apt/archives/passwd*deb
-rw-r--r-- 1 root root 972826 Nov 19 2015 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u1_i386.deb
-rw-r--r-- 1 root root 972942 Feb 24 09:25 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb
root@host315:~# md5sum /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb
1430e8082c16fd708d0d0a7ba589bb19 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb
root@host315:~#
Weil ich nun ja aber gelesen hatte, dass das passwd-Paket aus dem shadow-Paket stammt, fand ich auch ein Debian Security Advisorys, in dem aber passwd nicht erwähnt wird:
[SECURITY] [DSA 3793-1] shadow security update
Von Salvatore Bonaccorso
An debian-security-announce@lists.debian.org
Antwort an debian-security-announce-request@lists.debian.org
Datum Fr 20:00
-------------------------------------------------------------------------
Debian Security Advisory DSA-3793-1 security@debian.org
https://www.debian.org/security/ Salvatore Bonaccorso
February 24, 2017 https://www.debian.org/security/faq
-------------------------------------------------------------------------
Package : shadow
CVE ID : CVE-2016-6252 CVE-2017-2616
Debian Bug : 832170 855943
Several vulnerabilities were discovered in the shadow suite. The Common
Vulnerabilities and Exposures project identifies the following problems:
CVE-2016-6252
An integer overflow vulnerability was discovered, potentially
allowing a local user to escalate privileges via crafted input to
the newuidmap utility.
CVE-2017-2616
Tobnrydiasnrydnryd Stoeckmann discovered that su does not properly handle
clearing a child PID. A local attacker can take advantage of this
flaw to send SIGKILL to other processes with root privileges,
resulting in denial of service.
For the stable distribution (jessie), these problems have been fixed in
version 1:4.2-3+deb8u3.
We recommend that you upgrade your shadow packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
About the Author
Uwe beschäftigt sich seit vielen Jahren mit Linux und Webdesign, seit 2006 benutzt er WordPress zum schreiben eines "Tagebuchs". Tätig ist Uwe als Webmaster und Netzwerkadministrator, er arbeitet und lebt seit 2001 in Oberhausen. In seiner Freizeit ist er viel mit dem Mountainbike und dem Fotoapparat unterwegs.