passwd_4.2-3 und rkhunter

Gestern hatte ich ein debian-Update auf meinem Web-Server gemacht und hinterher lass ich dann auch immer khunter durchlaufen. Als ich die zugehörige Mail heute las, bekam ich einen großen Schrecken.

[rkhunter] host315.stratoserver.net - Daily report
Von 	root
An 	root
Datum 	Fr 22:29

Warning: The file properties have changed:
         File: /usr/sbin/groupadd
         Current hash: 6e265bf8276be8cdcfc297f14ecfdb6b44fcc871
         Stored hash : 778c0fb94d8b32c93c4a5869c28ad7c82afa4938
         Current inode: 33213663    Stored inode: 33211005
         Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
         Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
         File: /usr/sbin/groupdel
         Current hash: 9cd70239a975ab077b4d39764c1bfa52b7540bf8
         Stored hash : 93efa2feb1ac5e4c1cab2a1c42fb0a4d6c51b1d5
         Current inode: 33213865    Stored inode: 33211006
         Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
         Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
         File: /usr/sbin/groupmod
         Current hash: 27c591572151adec4b2df43b215c12318e678472
         Stored hash : 97418818ba9e01aa41554aaa49317200d3411617
         Current inode: 33213900    Stored inode: 33211008
         Current size: 76116    Stored size: 72020
         Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
         Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
         File: /usr/sbin/grpck
         Current hash: b81b6aff685d53c751c3eea68fd677dea56707c1
         Stored hash : 3de02a0ca7a37091b94866023567e73ea1c24b4e
         Current inode: 33213903    Stored inode: 33211147
         Current file modification time: 1487923798 (24-Feb-2017 09:09:58)
         Stored file modification time : 1447968948 (19-Nov-2015 22:35:48)
Warning: The file properties have changed:
         File: /usr/sbin/nologin
         Current hash: e6842135d3bffb4c3339ce71195f782801daccac

Eigenartigerweise bekam ich diese Meldung nur von dem einen Webserver. Ich hatte auch anderen Rechner updatet, aber die hatten mit dem Paket kein Problem gemeldet. Ich fand auch weder in den Debian Security Advisorys einen Hinweis auf das passwd-Paket, noch konnte ich auf Google etwas sinnvolles entdecken.
Als erstes verglich ich deshalb die DNS-Ausgaben für www.debian.org und hatte auf beiden Vergleichsrechnern ähnliche Ergebnisse.:

uwe@host315:~$ host www.debian.org
  www.debian.org has address 130.89.148.14
  www.debian.org has address 5.153.231.4
  www.debian.org has IPv6 address 2001:610:1908:b000::148:14
  www.debian.org has IPv6 address 2001:41c8:1000:21::21:4
uwe@host315:~$ 
  ...
 
root@gneis:~# host www.debian.org
  www.debian.org has address 5.153.231.4
  www.debian.org has address 130.89.148.14
  www.debian.org has IPv6 address 2001:610:1908:b000::148:14
  www.debian.org has IPv6 address 2001:41c8:1000:21::21:4
root@gneis:~#

Nach etwas suchen fand ich unter https://www.debian.org/distrib/packages auch die entsprechenden Seite zur passwd-Distribution und auf der entsprechenden Seite sieht man, dass das Paket tatsächlich relativ neu ist:

Sie können die angeforderte Datei aus dem pool/updates/main/s/shadow/-Unterverzeichnis herunterladen:

security.debian.org/debian-security

Debian-Sicherheitsaktualisierungen werden offiziell nur über security.debian.org verbreitet.

Beachten Sie, dass Sie bei einigen Browsern angeben müssen, dass die Datei als Datei gespeichert werden soll. Bei Firefox oder Mozilla sollten Sie die Umschalttaste halten, wenn Sie auf eine URL klicken.

Weitere Informationen über passwd_4.2-3+deb8u3_i386.deb:

Genaue Größe 972942 Byte (950,1 kByte)

MD5-Prüfsumme 1430e8082c16fd708d0d0a7ba589bb19

SHA1-Prüfsumme 1f52a2e535eb4c54db77daa0db2d943f0081f8f1

SHA256-Prüfsumme 7750305124dd35da311080920cd2d88ca0fb71ba211b0ea85a494aaac32e55b9

Genaue Größe	972942 Byte (950,1 kByte)
MD5-Prüfsumme	`1430e8082c16fd708d0d0a7ba589bb19`
SHA1-Prüfsumme	`1f52a2e535eb4c54db77daa0db2d943f0081f8f1`
SHA256-Prüfsumme	`7750305124dd35da311080920cd2d88ca0fb71ba211b0ea85a494aaac32e55b9`

In der Liste sieht man allerdings auch, dass auch andere Hardware-Versionen aktualisiert wurden. Warum aber hatte dieses Paket nur der eine Host nach geladen?:

…
[ ] passwd_4.2-3+deb8u2_amd64.deb 2017-02-24 05:44 948K
[ ] passwd_4.2-3+deb8u2_arm64.deb 2017-02-24 05:44 896K
[ ] passwd_4.2-3+deb8u2_armel.deb 2017-02-24 06:00 907K
[ ] passwd_4.2-3+deb8u2_armhf.deb 2017-02-24 05:59 912K
[ ] passwd_4.2-3+deb8u2_i386.deb 2017-02-24 05:44 950K
[ ] passwd_4.2-3+deb8u2_mips.deb 2017-02-24 05:59 917K
[ ] passwd_4.2-3+deb8u2_mipsel.deb 2017-02-24 06:10 924K
[ ] passwd_4.2-3+deb8u2_powerpc.deb 2017-02-24 05:59 898K
[ ] passwd_4.2-3+deb8u2_ppc64el.deb 2017-02-24 05:44 910K
[ ] passwd_4.2-3+deb8u2_s390x.deb 2017-02-24 05:44 944K
[ ] passwd_4.2-3+deb8u3_amd64.deb 2017-02-24 08:10 948K
[ ] passwd_4.2-3+deb8u3_arm64.deb 2017-02-24 08:10 896K
[ ] passwd_4.2-3+deb8u3_armel.deb 2017-02-24 08:25 907K
[ ] passwd_4.2-3+deb8u3_armhf.deb 2017-02-24 08:25 912K
[ ] passwd_4.2-3+deb8u3_i386.deb 2017-02-24 08:25 950K
…

Die Datei-Daten scheinen aber übereinzustimmen (von der genau einen Stunde Unterschied mal abgesehen). So bin ich zwar immer noch verwundert, dass es nur den einen Web-Host betraff, aber es scheint ja doch seine Richtigkeit zu haben. – Und auf diese Art hatte ich auch gleich mal wieder ein paar URLs updatet. Einige der Webseiten, zu den ich Links in meinen Favoriten gespeichert hatte, scheinen nämlich das zeitliche gesegnet zu haben. (z.B. apt-get.org )

root@host315:~# dpkg --get-selections | grep passwd
base-passwd					install
passwd						install
root@host315:~# 
root@host315:~# ls -l /var/cache/apt/archives/passwd*deb
-rw-r--r-- 1 root root 972826 Nov 19  2015 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u1_i386.deb
-rw-r--r-- 1 root root 972942 Feb 24 09:25 /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb
root@host315:~# md5sum /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb
1430e8082c16fd708d0d0a7ba589bb19  /var/cache/apt/archives/passwd_1%3a4.2-3+deb8u3_i386.deb
root@host315:~#

Weil ich nun ja aber gelesen hatte, dass das passwd-Paket aus dem shadow-Paket stammt, fand ich auch ein Debian Security Advisorys, in dem aber passwd nicht erwähnt wird:

[SECURITY] [DSA 3793-1] shadow security update
Von 	Salvatore Bonaccorso
An 	debian-security-announce@lists.debian.org
Antwort an 	debian-security-announce-request@lists.debian.org
Datum 	Fr 20:00

-------------------------------------------------------------------------
Debian Security Advisory DSA-3793-1                   security@debian.org
https://www.debian.org/security/                     Salvatore Bonaccorso
February 24, 2017                     https://www.debian.org/security/faq
-------------------------------------------------------------------------

Package        : shadow
CVE ID         : CVE-2016-6252 CVE-2017-2616
Debian Bug     : 832170 855943

Several vulnerabilities were discovered in the shadow suite. The Common
Vulnerabilities and Exposures project identifies the following problems:

CVE-2016-6252

    An integer overflow vulnerability was discovered, potentially
    allowing a local user to escalate privileges via crafted input to
    the newuidmap utility.

CVE-2017-2616

    Tobtmydiastmydtmyd Stoeckmann discovered that su does not properly handle
    clearing a child PID. A local attacker can take advantage of this
    flaw to send SIGKILL to other processes with root privileges,
    resulting in denial of service.

For the stable distribution (jessie), these problems have been fixed in
version 1:4.2-3+deb8u3.

We recommend that you upgrade your shadow packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org