[Ayuda] Boletin-UNAM-CERT-2002-024 "Distribuciones Troyanas de OpenSSH"

To: UNAM-CERT <unam-cert en seguridad unam mx>
Subject: [Ayuda] Boletin-UNAM-CERT-2002-024 "Distribuciones Troyanas de OpenSSH"
From: UNAM-CERT <unam-cert en seguridad unam mx>
Date: Thu, 1 Aug 2002 19:41:19 -0500 (CDT)
In-reply-to: <Pine.GSO.4.10.10207301855350.10766-100000@martini.super.unam.mx>
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Sender: ayuda-admin en linux org mx

-----BEGIN PGP SIGNED MESSAGE-----

      ------------------------------------------------------------------

                                 UNAM-CERT

                    Departamento de Seguridad en C�mputo

                                DGSCA- UNAM

                  Bolet�n de Seguridad UNAM-CERT 2002-024

                     Distribuciones Troyanas de OpenSSH

     ------------------------------------------------------------------

     El   CERT/UNAM-CERT ,  a trav�s  de  sus  equipos  de respuesta  a
     incidentes de Seguridad en C�mputo, han emitido �ste bolet�n en el
     cual confirman que algunas copias del c�digo fuente del paquete de
     OpenSSH fueron  modificadas por un intruso  y contienen un Caballo
     de Troya.

     Se  recomienda a  los  sitios que  utilizan, redistribuyen,  o son
     mirror del paquete  OpenSSH verificar inmediatamente la integridad
     de su distribuci�n.

     Fecha de
     Liberaci�n:       1 de Agosto de 2002
     Ultima Revisi�n:  1 de Agosto de 2002
                       CERT/CC y diversos reportes
     Fuente:           de Equipos de Respuesta a
                       Incidentes.


     SISTEMAS AFECTADOS
     ------------------

        * Versiones 3.2.2p1, 3.4 p1 y 3.4 de OpenSSH


     DESCRIPCI�N
     -----------

     El CERT/UNAM-CERT  ha recibido  informaci�n de que  algunas copias
     del c�digo fuente del  paquete OpenSSH han sido modificadas por un
     intruso y  contienen un Caballo de  Troya. El siguiente bolet�n ha
     sido liberado por el equipo de desarrollo de OpenSSH.

          http://www.openssh.com/txt/trojan.adv

     Los siguientes archivos fueron  modificados para incluir el c�digo
     malicioso:


             openssh-3.4p1.tar.gz
             openssh-3.4.tgz
             openssh-3.2.2p1.tar.gz


     Estos archivos aparentemente fueron colocados en el servidor FTP
     que almacena ftp.openssh.com y ftp.openbsd.org el 30 o 31 de Julio
     de 2002. El equipo de desarrollo de OpenSSH reemplazo las copias
     del Caballo de Troya con el paquete original, versiones no
     comprometidas, el 1 de Agosto de 2002 a las 13:00 Hrs. La copia
     Troyana del c�digo fuente estuvo disponible el tiempo suficiente
     para propagarse a otros sitios mirror de OpenSSH.

     Las versiones Troyanas de OpenSSH contienen c�digo malicioso que
     se ejecuta cuando el software es compilado. Este c�digo hace una
     conexi�n al puerto 6667/tcp de un servidor remoto fijo. Este
     c�digo puede abrir un shell ejecut�ndose con el usuario que
     compil� el OpenSSH.


     IMPACTO
     -------

     Un intruso  operando desde la direcci�n  remota especificada en el
     c�digo  malicioso  puede obtener  acceso  remoto  no autorizado  a
     cualquier  servidor  que  haya  compilado la  versi�n  Troyana  de
     OpenSSH.  El nivel  de  acceso al  sistema es  el del  usuario que
     compil� el c�digo fuente.


     SOLUCIONES
     ----------

     Se recomienda  a los sitios  que hayan descargado una  copia de la
     distribuci�n   de  OpenSSH   verificar   la  autenticidad   de  su
     distribuci�n,  independientemente  del lugar  de  donde haya  sido
     obtenida. Adem�s, se recomiendas  a los usuarios inspeccionar todo
     el software  que haya  sido descargado del  sitio comprometido. Se
     debe hacer notar que  no es suficiente confiar solo en la fecha de
     creaci�n o  el tama�o del archivo  cuando se intenta determinar si
     es o no una copia del Troyano.

     * Obtener una Versi�n de OpenSSH

     El sitio de distribuci�n primaria de OpenSSH es:

          http://www.openssh.com/

     Se recomienda a los sitios que son mirror del c�digo fuente de
     OpenSSH verificar la integridad de sus c�digos.

     * Verificar los Checksums MD5

     Tu puedes utilizar los siguientes Checksums MD5 para verificar la
     integridad del c�digo fuente de la distribuci�n de OpenSSH.


             459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
             d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
             39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
             9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
             be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig


     Al menos una versi�n de las distribuciones del Caballo de Troya
     fue reportada, y tiene el siguiente checksum:


             Trojan horse version:

                     3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz


     * Verificar la Firma PGP

     Adicionalmente, las distribuciones de la liberaci�n portable de
     OpenSSH son distribuidas con firmas PGP separadas. Se debe hacer
     notar que las versiones del Troyano no fueron firmadas
     correctamente, e intentar verificar las firmas podr�a fallar.

     Como una buena pr�ctica de seguridad, el CERT/UNAM-CERT
     recomiendan a los usuarios verificar, cuando sea posible, la
     integridad del software descargado. Para una mayor informaci�n
     consulte:

          http://www.cert.org/incident_notes/IN-2001-06.html


     AP�NDICE A. Informaci�n de Distribuidores
     -----------------------------------------

     Este   Ap�ndice   contiene  informaci�n   proporcionada  por   los
     distribuidores de �ste bolet�n. Tan pronto como los distribuidores
     reporten nueva informaci�n  al CERT/UNAM-CERT, se actualizar� esta
     secci�n. Si un distribuidor  en particular no se encuentra listado
     a continuaci�n, significa que no se han recibido comentarios de su
     parte.

     Conectiva Linux

          Conectiva   Linux  distribuye  openssh-3.4p1   como  una
          actualizaci�n de  seguridad. La copia  distribuida es la
          original y  no esta afectada por  �ste Troyano. La firma
          digital  contenida en  el paquete siempre  es verificada
          antes de crear paquetes de terceros.

     IBM Corporation

          El sistema operativo AIX, de IBM no es proporcionado con
          OpenSSH;  sin  embargo,  OpenSSH  esta  disponible  para
          instalar en  AIX por  medio del Linux  Affinity Toolkit.
          Los paquetes actualmente disponibles  en el sitio web no
          contienen  c�digo  troyano.  Se  ha verificado  que  los
          paquetes OpenSSH  fueron generados desde paquetes fuente
          limpios de la organizaci�n OpenSSH.

     MandrakeSoft

          MandrakeSoft  ha  verificado  que  el c�digo  fuente  de
          openssh-3.4p1  utilizado   para  construir  las  �ltimas
          actualizaciones  (ref.  MDKSA-2002:040-1)  no  contienen
          este troyano.


     INFORMACI�N
     -----------

     �ste documento se encuentra disponible en su formato original en
     la siguiente direcci�n:

          http://www.cert.org/advisories/CA-2002-024.html

     Para  mayor  informaci�n  acerca  de  �ste  bolet�n  de  seguridad
     contactar a:

                                 UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Computo
                                DGSCA - UNAM
                    E-Mail : seguridad en seguridad unam mx
                        http://www.unam-cert.unam.mx
                        http://www.seguridad.unam.mx
                        ftp://ftp.seguridad.unam.mx
                             Tel : 56 22 81 69
                             Fax : 56 22 80 43

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBPUnVN3AvLUtwgRsVAQEEeQf/Z4Y0iogmgC1lM5Ts8YG57RTx34oNtgn1
n4Bw3c0LNOKwZM4Gv9P2n6JiGP/34Y0UiK5URJ5mw72Qqh2HNdy8ibEUqi43bzFc
mI3lqXJiOtOuUQ+dVhD0fUFuw2wIa3S3FHTtUod4YjyL2uSX6oSafoY4bHmURpyH
XGzH/pENckYtqorNIqRYalDV8m8LI0e9+Pg2Gidkm3gjJfA5wKjWpPvHA6SdgFal
0ZQozGJ+f5fOFu19wmKGh33zxQzoTgkO77qz3n4Dt9XqslBN1KCa/QgAQ5qOsBuu
xwCeBugWHbopQcPE1bGFeTNcnfs30QcMuk9mkMGLe+1z/qsangHZcg==
=HmY1
-----END PGP SIGNATURE-----


_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Mensaje(s) a continuación:
- [Ayuda] Boletin-UNAM-CERT-2002-025 "Overflow de Entero en la Biblioteca XDR"
  - De: UNAM-CERT

Previo por Fecha: [Ayuda] AYUDA SOBRE DISCOS SUSE
Siguiente por Fecha: Re: [Ayuda] OpenSSH e Intercambio de llaves
Previo por Hilo: Re: [Ayuda] AYUDA SOBRE DISCOS SUSE
Siguiente por Hilo: [Ayuda] Boletin-UNAM-CERT-2002-025 "Overflow de Entero en la Biblioteca XDR"

[Hilos de Discusión] [Fecha] [Tema] [Autor]