Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2002 > CERT-FI varoitus 81/2002

CERT-FI varoitus 81/2002

14.11.2002

Troijan hevonen tcpdump ja libpcap -jakelupaketeissa

Tcpdump on Unix-järjestelmissä käytetty verkkoliikenteen tarkkailuohjelmisto. Libpcap on järjestelmäriippumaton ohjelmointirajapinta verkkoliikenteen tarkkailuun. Tunkeilija on päässyt muuttamaan tcpdump- ja lippcap -ohjelmistopaketteja www.tcpdump.org HTTP-palvelimella, ilmeisesti 11.11.2002 klo 12:14 Suomen aikaa lisäten jakeluversioihin haittaohjelmakoodia. Tcpdump -ohjelmiston kehittäjät estivät muutettujen ohjelmistopakettien jakelun palvelimelta 13.11.2002 klo 17:05:19 Suomen aikaa.

Muutetut ohjelmistopaketit avaavat yhteyden ennaltamääritettyyn apujärjestelmään porttiin 1963/tcp. Tästä apujärjestelmästä haetaan lisää ohjelmakoodia, joka sisältää mm. takaporttiohjelmiston. Koodin avulla hyökkääjän on ollut mahdollista käynnistää shell-käyttöliittymä järjestelmään, jossa haavoittuvan ohjelmistopaketin lähdekoodi on käännetty.

VAROITUKSEN KOHDERYHMÄ:

Järjestelmät, joissa on käännetty seuraavien ohjelmistopakettien lähdekoodi

tcpdump-3.6.2.tar.gz,
md5-tarkistussumma 3a1c2dd3471486f9c7df87029bf2f1e9
tcpdump-3.7.1.tar.gz,
md5-tarkistussumma 3c410d8434e63fb3931fe77328e4dd88
libpcap-0.6.1.tar.gz,
md5-tarkistussumma 73ba7af963aff7c9e23fa1308a793dca

Haittaohjelmakoodin sisältävät ohjelmistopaketit ovat olleet saatavilla www.tcpdump.org -palvelimella 11.11-13.11 välisenä aikana. Tällä hetkellä ei ole tiedossa, ovatko mahdolliset
www.tcpdump.org -palvelinta peilanneet palvelimet jakaneet saastuneita ohjelmistoversioita.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Jos tietojärjestelmään on käännetty äskettäin libpcap/tcpdump -ohjelmistopaketit, pakettien md5-tarkistussummat on syytä varmistaa. Tällä hetkellä tcpdump ja libpcap -ohjelmistopakettien kehittäjät suosittelevat seuraavia palvelimia turvallisiksi havaittujen versioiden noutamiseen:

http://sourceforge.net/projects/tcpdump
http://sourceforge.net/projects/libpcap

Suositeltavat, turvalliseksi havaitut ohjelmistoversiot ovat seuraavat:

tcpdump3.7.1.tar.gz,
md5-tarkistussumma 03e5eac68c65b7e6ce8da03b0b0b225e
libpcap-0.7.1.tar.gz,
md5-tarkistussumma 0597c23e3496a5c108097b2a0f1bd0c7

Jos tietojärjestelmään on asennettu haavoittuva ohjelmistoversio, järjestelmään on syytä tehdä perusteellinen turvallisuustarkastus.

Haittaohjelmakoodin liikennöintiyritykset apujärjestelmään voidaan estää kieltämällä palomuurissa liikennöinti porttiin 1963/tcp.

LISÄTIETOA:

http://www.cert.org/advisories/CA-2002-30.html

PÄIVITYSHISTORIA:

14.11.2002: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio