[SECURITY-L] CAIS-Alerta: Comprometimento de pacotes OpenSSH do Red Hat (SA31575)

CSIRT - UNICAMP security em unicamp.br
Qua Ago 27 16:55:53 -03 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Comprometimento de pacotes OpenSSH do Red Hat (SA31575)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 27 Aug 2008 14:03:00 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta da Secunia, intitulado "SA31575 - Red Hat 
Update for Tampered OpenSSH Packages", que trata do comprometimento dos 
pacotes do aplicativo OpenSSH utilizados pela Red Hat.

A Red Hat informou que sofreu uma invasao em servidores utilizados para a 
distribuicao de pacotes e como consequencia do ataque foram modificados e 
assinados digitalmente de forma indevida alguns pacotes OpenSSH.

A Red Hat disponibilizou a lista de pacotes alterados e como proceder com 
sua identificacao.

Admitir o comprometimento e' uma atitude positiva da Red Hat, levando em 
consideracao que este tipo de incidente e' embaracoso para uma empresa. As 
razoes para uma atualizacao de seguranca muitas vezes sao omitidas dos 
usuarios.


SISTEMAS AFETADOS

. OpenSSH para Red Hat Enterprise Linux 4
. OpenSSH para Red Hat Enterprise Linux 5
. OpenSSh para Red Hat Enterprise Linux 4.5 Extended Update Support


CORRECOES DISPONIVEIS

Recomenda-se verificar se foi instalado algum pacote comprometido e 
proceder com o update, conforme orientacoes disponiveis em:

. http://www.redhat.com/security/data/openssh-blacklist.html


MAIS INFORMACOES

. SA31575- Red Hat Update for Tampered OpenSSH Packages
  http://secunia.com/advisories/31575/

. RHSA-2008:0855-6 Critical: openssh security update
  https://rhn.redhat.com/errata/RHSA-2008-0855.html

. OpenSSH blacklist script
  http://www.redhat.com/security/data/openssh-blacklist.html

. SANS ISC Handler's Diary 2008-08-22: RedHat compromise sparks a Critical openssh security update
  http://isc.sans.org/diary.html?storyid=4921


Identificador CVE (http://cve.mitre.org): CVE-2007-4752


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBSLWI9Okli63F4U8VAQH/VwP9EJj4jy2imRSZ9EBmXYTcGye3iQaFMByX
q1rOEHAfx5yU+PdYGrhFsPyKt3McgE5ZiiJkylI9lyMPLHUe37liH08cmB38/R0s
l9yPCMXWI/lg1jud/sACBz3um1JbL1qHe9GbQFBGsxoXlqoEhoRT6H9PTivrGneT
zPVh9WTtLNw=
=aVXy
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L