Quelle:
http://cert.uni-stuttgart.de/ticker/article.php?mid=1167Merkwürdig finde ich allerdings, das die Mail an die debian-announce-Liste geschickt wurde. Bei mir ist die zumindest nicht angekommen und im Archiv und der Newsgroup ist auch nichts zu finden.Anderseits scheint die Signatur zu stimmen.
Hat das die Infrastruktur so hart getroffen ?
So spricht heise:
Eingebrochen wurde in die Server mit dem Bug Tracking System (master), den Mailing-Listen (murphy), den Web-Seiten und dem CVS (gluck) sowie den Security- und Non-US-Paketen und der Suche über die Webseiten (klecker). Einige dieser Dienste sind jetzt abgeschaltet, andere sind auf andere Server umgezogen.
Die Mailinglisten sind dabei, ist also nicht auszuschließen, dass es da sputz gab. Aber auch das CVS finde ich ist nicht ohne.
Ob sich jetzt irgendein Spam-Versender über ne große Maildatenbank freut? [img]
http://unimatix.sternenvolk.de/gfx/28.gif[/img]
[img]
http://unimatix.sternenvolk.de/gfx/1.gif[/img]
http://www.heise.de/newsticker/data/odi-21.11.03-001/
heute Morgen im IRC:
02:00:58 <@mrvn> sunkist: Begreiff doch einfach mal das die Infrastruktur die Debian fuer soche Dinge hat offline ist und uncomprimitierte System benutzt wurden um die Nachricht rauszubringen.
02:01:40 < sunkist> mrvn: Du wirst mir doch nicht erzaehlen wollen, dass es fuer dich, mich oder Joey ein Problem ist, 30k Mails mit ein paar Saetzen ins Netz zu blasen, oder?
02:02:36 <@mrvn> sunkist: das ist ein problem. debian-announce hat 4h lang noch die mail geschickt bis er offline genommen wurde und die ging nicht an alle subscriber.
Mittlerweile gibt es weitere Details, siehe den
Bericht bei Heise, welcher sich auf eine
Mail auf debian-devel-announce stützt.
Kurze Zusammenfassung: Vollständig aufgeklärt ist die Ursache des Einbruchs nicht, vermutet wird aber, daß das Passwort eines Debianmitglieds ausgespäht wurde und dann mittels eines noch unbekannten Local-Root-Exploits ein Rootkit installiert wurde.
Mir ist dabei noch nicht ganz klar, warum ein unbekannter Remote-Exploit ausgeschlossen wird.
Vermutlich weil der unpriviligierte lokale Account identifiziert wurde, der für den root-Exploit benutzt wurde.
Aktuelle Informationen stehen übrigens auch auf
http://www.wiggy.net/debian/
