Tietoturva nyt!

12.6.2010

IRC-keskustelujärjestelmän palvelinohjelmistosta jaettu takaportin sisältävää versiota

Unreal IRCd -ohjelmistosta on ollut pitkään jaossa versio, joka mahdollistaa palvelimen haltuunoton takaportin kautta.

Unreal IRCd-ohjelmiston lähdekoodin sisältävä tiedosto Unreal3.2.8.1.tar.gz ainakin osalla ohjelmiston jakelua peilaavista palvelimista on vaihdettu sellaiseen versioon, joka sisältää takaportin. Sen kautta on voinut suorittaa palvelimella komentoja ircd-ohjelmiston käyttäjän oikeuksin. Julkaistun tiedotteen mukaan muokattua versiota on jaettu jo marraskuusta 2009 alkaen.

Asennuspaketin eheyttä ei ole tähän saakka varmistettu esimerkiksi PGP-allekirjoituksen avulla, mutta ohjelmiston tekijät aikovat jatkossa kiinnittää asiaan huomiota. Luonnollisesti Unreal IRCd-ohjelmiston käyttäjien on syytä tarkistaa, että onko asennettu versio turvallinen.

Valmistajan tiedotteen mukaan muokatun ja ehjän tiedoston md5-tarkistussummat ovat seuraavat:

Takaoven sisältävä versio: 752e46f2d873c1679fa99de3f52a274d
Ehjä, turvallinen versio: 7b741e94e867c0a7370553fd01506c66

CVS-versionhallintajakelun kautta jaetut tiedostot ovat muokkaamattomia. Versiota 3.2.8 tai aikaisempia ei ole tiettävästi muokattu.

Lisätietoa

• http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt

Sivua päivitetty 12.06.2010

Tulostusversio