UPS: [[SECURITY] Some Debian Project machines have been compromised]

Besser man kommt spät mit als nie. Ich hoffe, die haben das
Problem mittlerweile gelöst, hab nämlich grad ein apt-get upgrade
gestartet... :frowning:

Grüße
Christian

-------- Original-Nachricht --------

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- ------------------------------------------------------------------------
Debian Security Advisory http://www.debian.org/security/
Some Debian Project machines compromised security(a)debian.org
November 21st, 2003 debian-security-announce(a)lists.debian.org
- ------------------------------------------------------------------------

Some Debian Project machines have been compromised

This is a very unfortunate incident to report about. Some Debian
servers were found to have been compromised in the last 30 hours.

The archive is not affected by this compromise!

The security server is not yet restored and security updates are
currently not available.

In particular the following machines have been affected:

   . master (Bug Tracking System)
   . murphy (mailing lists)
   . gluck (web, cvs)
   . klecker (security, non-us, web search, www-master, qa)

Some of these services are currently not available as the machines
undergo close inspection. Some services have been moved to other
machines (www.debian.org for example).

The security archive will be verified from trusted sources before it
will become available again.

Please note that we have recently prepared a new point release for
Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been
announced yet, it has been pushed to our mirrors already. The
announcement was scheduled for this morning but had to be postponed.
This update has now been checked and it is not affected by the
compromise.

We apologise for the disruptions of some services over the next few
days. We are working on restoring the services and verifying the
content of our archives.

Contact Information
- -------------------

For further information, please visit the Debian web pages at
<http://www.debian.org/&gt; or send mail to <press(a)debian.org>.

Hallo Christian,

c.peer(a)peer.biz schrieb:

Besser man kommt spät mit als nie. Ich hoffe, die haben das
Problem mittlerweile gelöst, hab nämlich grad ein apt-get upgrade
gestartet... :frowning:

Ja, ich schätze die Probleme wurden gelöst. Es wurde nämlich kürzlich
die Woody 3.0 r2 freigegeben.

Die Freigabe erfolgte nachdem sie das Sicherheitsloch entdeckt hatten.
Daher gehe ich davon aus, dass das Problem gelöst wurde.

Die Debian-Pakete (einschließlich Quellen) befinden sich auf vielen
Servern, die auf der ganzen Welt verstreut sind. Einige davon sind auch
interne Server, die von außen nicht zugänglich sind. Daher ist es
relativ einfach eventuelle kompromittierte Pakete, durch Vergleich mit
vertrauten Stellen, herauszufinden. Der ONE POINT OF FAILURE ist also
nicht vorhanden, da das Wissen nicht konzentriert sondern verteilt ist.

Wenn du auf einer Woody ein apt-get upgrade machst, bekommst du alle
Sicherheitspatchs, die in der letzten Zeit über security.debian.org
verteilt wurden. Wenn du immer brav über security.debian.org upgedatet
hast, sollte nicht mehr viel upgedated worden sein.

Happy hacking!
Patrick

p.s. Leite gleich die offizielle Ankündigung der Woody 3.0 r2 an die
Liste weiter!

Hallo,

Die Debian-Pakete (einschließlich Quellen) befinden sich auf vielen
Servern, die auf der ganzen Welt verstreut sind. Einige davon sind auch
interne Server, die von außen nicht zugänglich sind. Daher ist es
relativ einfach eventuelle kompromittierte Pakete, durch Vergleich mit
vertrauten Stellen, herauszufinden. Der ONE POINT OF FAILURE ist also
nicht vorhanden, da das Wissen nicht konzentriert sondern verteilt ist.

Das stimmt leider nicht ganz, von security.debian.org gib es (zumindest
nicht offiziell) keine Mirrors. Ich hoffe dass sie dieses Problem in
Zukunft lösen.

<snip Debian security FAQ>
Q: Why are there no official mirrors for security.debian.org?

available as quickly and easily as possible. Mirrors would add extra
complexity that is not needed and can cause frustration if they are not
up to date.
</snip>

bye
raf

Das stimmt leider nicht ganz, von security.debian.org gib es (zumindest
nicht offiziell) keine Mirrors. Ich hoffe dass sie dieses Problem in
Zukunft lösen.

Ja es gibt keine Mirrors.

Die Pakete befinden sich aber trotzdem auf viele Rechner. Mirrors wären
auch nicht so eine gute Absicherung, da sie sich periodisch abgleichen.

Sicher darf man das Problem nicht ignorieren. Und das Debian Team wird
in Zukunft noch bessere Sicherheitsabsicherungen treffen müssen.

Leider gibt es keine fehlerfreie Software und daher kann es auch kein
absolut sicheres System geben, da es ja auf fehlerhafte Software
aufbauen muss :wink:

Happy hacking!
Patrick