Опасность: исходники Sendmail могут содержать троянца
8 октября 2002 г. координационный центр Computer Emergency Response Team (CERT/CC) при Университете Carnegie Mellon распространил заявление, в котором содержится предупреждение об обнаружении в некоторых версиях пакета Sendmail троянского компонента. Стало известно, что неким злоумышленником были внесены изменения в исходный код программы, и с 28 сентября в исходниках на FTP-сайте Sendmail содержалась троянская программа - люк, названная некоторыми антивирусными компаниями, как Unix/Sendmail-ADM или UNIX_ALUTAPS.A.
Изменения были внесены в следующие файлы
sendmail.8.12.6.tar.Z
sendmail.8.12.6.tar.gz
Пользователи, загрузившие пакет с FTP - сервера ftp.sendmail.org в конце сентября - начале октября нынешнего года, скорее всего, инсталлировали у себя в системах компроментированные версии программы. Лишь 6 октября группа разработчиков Sendmail удалила с FTP - сервера указанную зараженную версию программы.
Троянский код, содержащийся в программе, запускается в процессе инсталляции пакета и содержит модифицированный файл /libsm/t-shm.c, который после запуска раскодируется и помещает в систему скрипт под названием test. Скрипт, в свою очередь, помещает в систему троянский компонент - "люк" - файл под названием conftest.c, компилирует его и запускает.
Поселившись в системе, троянец осуществляет соединение с хостом spatula.aclue.com (66.37.138.99) через порт 6667 и ждет поступления удаленных команд. Люк, открытый в пораженной системе, дает возможность открыть программу-оболочку и наделяет хакерами таким же правами в системе, какими обладает пользователь. В результате этих действий агрессор получает удаленных контроль над системой и может в ней производить различные несанкционированные действия на правах ее пользователя.
Для того, чтобы обезопасить себя от загрузки возможно зараженной версии пакета Sendmail ЗАО "ДиалогНаука" настоятельно советует его пользователям загрузить гарантированно неинфицированную троянцем версию программы. Так как размера загруженного файла и времени его загрузки недостаточно для того, чтобы быть абсолютно уверенным в получении чистой копии программы, проверьте криптографическую PGP - подпись программы Sendmail
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002При отсутствии PGP - подписи целостность программы можно проверить с помощью контрольной суммы MD5.Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z 8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig