Archive for August, 2008

Einbruch in die Fedora-Server?

Tuesday, August 19th, 2008

Seit einigen Tagen sind verschiedene Server der kostenlosen Linux-Distribution Fedora nicht mehr erreichbar, auch das Software-Update funktioniert nicht mehr. Sämtliche Server werden derzeit komplett neu eingerichtet, und Paul Frields, seines Zeichens Projektleiter von Fedora, rät, vorerst keine Updates oder neue Pakete zu installieren [1].

Dies legt den Schluss nahe, dass in die Fedora-Server womöglich eingebrochen wurde. Mit einer Neuinstallation würde man sicher stellen, dass dem Angreifer keine Hintertür offen bleibt. Man kann nur hoffen, dass sich diese Befürchtung nicht bewahrheitet, und vor allem, dass keine Software-Pakete modifiziert wurden.

Das Fedora-Infrastruktur-Team ist derzeit fleißig dabei, die bestehende Infrastruktur wieder flott zu kriegen [2] [3]. Heute verschickten sie eine Mail in der sie jeden mit Zugriff auf einen der Fedora-Server auffordern, sein Passwort zu ändern.

Tom Callaway, einer der Fedora-Admins, teilte mir mit, dass die im Account-System gespeicherten Passwörter als MD5-Prüfsumme mit Salt gespeichert werden. Es besteht daher keine Gefahr, dass ein etwaiger Angreifer aus womöglich geklauten Hashs Rückschlüsse auf euer Passwort ziehen kann. Es ist ihm auch nicht möglich, sich mit diesem Hash Zugang zu einem anderen System oder einer Seite zu verschaffen, bei der ihr das selbe Passwort benutzt habt. Mit einem geklauten Hash dieser Art ist ausschließlich der Zugriff auf euren Fedora-Account möglich, daher bitte trotzdem, auch im eigenen Interesse, umgehend euer Passwort ändern.

[1] http://redhat.com/archives/fedora-announce-list/2008-August/msg00008.html
[2] http://redhat.com/archives/fedora-announce-list/2008-August/msg00009.html
[3] http://redhat.com/archives/fedora-announce-list/2008-August/msg00011.html