El pasado 23 de Marzo el equipo GNOME hizo público una intrusión en
sus sistemas informáticos.

GNOME es un conjunto de paquetes informáticos «open source» que
proporcionan un entorno gráfico de alta calidad y abundante
infraestructura a nivel de librerías y servicios. Aunque GNOME se
emplea fundamentalmente en entorno Linux, se puede utilizar también,
por ejemplo, bajo las plataformas Solaris modernas.

El pasado 23 de Marzo, el personal técnico encargado de la
administración de «www.gnome.org» comunicó públicamente la detección
de una intrusión informática en su servidor web. Todos los servidores
«gnome.org» fueron desconectados inmediatamente, para evaluar la
profundidad de la intrusión y evitar que los usuarios accediesen
a información y código fuente comprometido, si lo hubiese.

Doce horas más tarde, tras analizar la situación con detalle, se
pusieron en servicio de nuevo el servidor FTP (una vez comprobada su
integridad), el contenido estático de los servidores web, parte del
sistema de seguimiento de bugs «bugzilla» y los sistemas de «blogs»
(web logs).

El descubrimiento de la intrusión coincide prácticamente con la
publicación de la nueva versión 2.6 de Gnome, evento señalado y esperado
por gran parte de la comunidad «Open Source». Oficialmente se pensaba
publicar el 24 de Marzo, pero finalmente se hizo el pasado 31, tras
verificar exhaustivamente su integridad.

Hasta este momento no se ha hecho público aún cómo se detectó la
intrusión o qué mecanismos desataron la alarma. En los últimos meses
Hispasec se ha hecho eco de un buen número de intrusiones en servidores
emblemáticos de proyectos «Open Source», como GNU, Debian o Linux. Al
margen de las conclusiones que cada cual saque de estos hechos,
personalmente creo reseñable que las intrusiones se hayan detectado con
rapidez y que los responsables hayan tenido la profesionalidad de tomar
las medidas necesarias para alertar a la comunidad.

Como no nos cansamos de insistir desde Hispasec, es muy conveniente
descargar el software siempre de fuentes reputadas. Y, si ello es
posible, comprobar su integridad verificando sus firmas digitales,
tecnología cada vez más difundida y probadamente útil a la luz de los
acontecimientos. Los usuarios de proyectos que no distribuyan sus
productos con firmas digitales deberían presionar, en lo posible, a
sus responsables para que adopten dichas medidas de protección. Por
supuesto, sería necesaria también la formación y concienciación del
público, para que exijan dichas medidas y para que las verifiquen de
forma rutinaria.

FE DE ERRATAS:

El pasado 30 de Marzo de 2004 Hispasec publicó un boletín titulado
«Actualización de seguridad para Samba», anunciando una vulnerabilidad
(y su solución) para este producto. Varios lectores se han puesto en
contacto con nosotros para comunicarnos que el boletín es erróneo.

Efectivamente, el problema no radica en el código SAMBA, sino en su
instalación y configuración en algunas distribuciones que instalan
«smbmnt» como «setuid». En concreto, el problema afecta a las
distribuciones Debian y Mandrake, al menos. Esto es grave porque permite
que cualquier usuario del sistema monte servidores de ficheros remotos
de forma arbitraria, posiblemente maliciosos.

El bug, bastante esotérico, consiste en que un usuario local puede
obtener privilegios de administrador si la máquina ejecuta una versión
2.6.* del kernel Linux y si el usuario ejecuta un programa residente en
un disco remoto y éste tiene «setuid»/»setgid». El sistema «obedecerá»
los permisos adicionales del programa ejecutado, proveniente del disco
remoto, algo tradicionalmente prohibido porque las unidades remotas no
son confiables, ya que su contenido no está bajo el control del
administrador del cliente samba. Es por ello por lo que «smbmnt» no debe
estar «setuid», para que solo el administrador pueda montar máquinas
remotas que le merezcan confianza.

Las distribuciones afectadas ya han publicado parches de seguridad al
respecto. Asimismo, el problema parece estar también solucionado en la
versión 2.6.3 y superiores del kernel Linux, aún no integrado por
ninguna distribución Linux importante.

Quiero expresar mi gratitud a los lectores que se han tomado la molestia
de ponerse en contacto con nosotros para expresarnos sus dudas respecto
dicho boletín. Es revitalizante comprobar el buen uso del sentido
crítico y el pensamiento independiente de nuestros lectores. Gracias.

Jesús Cea Avión
jcea@hispasec.com

Más información:

Gnome.org Compromised?
http://developers.slashdot.org/article.pl?sid=04/03/23/2134223

Intrusion on http://www.gnome.org
http://mail.gnome.org/archives/gnome-announce-list/2004-March/msg00113.html

Update [was Re: Intrusion on http://www.gnome.org]
http://mail.gnome.org/archives/gnome-hackers/2004-March/msg00019.html

Intrusion Cleanup Forces Delay For GNOME 2.6
http://developers.slashdot.org/article.pl?sid=04/03/24/1343212

GNOME 2.6 delay likely after security breach
http://www.zdnet.com.au/news/security/0,2000061744,39118923,00.htm

Linux Kernel Samba Share Local Privilege Elevation Vulnerability
http://www.securityfocus.com/bid/9619/

Compártelo: