Se ha confirmado que algunas copias del código fuente del paquete
OpenSSH han sido modificadas por un intruso y contienen un troyano.
Entre el 30 y el 31 de julio se insertó el código de un troyano en las
versiones de OpenSSH 3.2.2p1, 3.4p1 y 3.4 sobre el servidor ftp de
OpenBSD y de ahí se propagó a través del proceso normal de replicación a
otros servidores ftp. El 1 de agosto a las 13:00 UTC se repuso la
versión original de los archivos en el servidor ftp.
Desde OpenSSH se recomienda a todos los sitios que empleen, redistribuyan
o repliquen el paquete OpenSSH verifiquen la integridad de su
distribución.
Con la inclusión del código malicioso se vieron modificados los
siguientes archivos:
openssh-3.4p1.tar.gz
openssh-3.4.tgz
openssh-3.2.2p1.tar.gz
Las versiones de OpenSSH afectadas por el troyano contienen un código
malicioso que se conecta a un servidor remoto fijo en el puerto
6667/tcp. Esto puede abrir un shell con los permisos del usuario que
compiló OpenSSH.
Para comprobar la integridad de los archivos se recomienda verificar las
sumas de verificación (checksums) MD5. Las versiones correctas son las
siguientes:
459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig
antonior@hispasec.com
Más información:
Aviso de OpenSSH
http://www.openssh.com/txt/trojan.adv
Aviso del CERT:
http://www.cert.org/advisories/CA-2002-24.html
Deja un comentario