RedHat-Update entpuppt sich als Rootkit
In der Mail mit dem Betreff "Red Hat: Buffer Overflow in 'ls' and 'mkdir'" wird dem Anwender dringend empfohlen, das System wegen angeblich kritischer Schwachstellen in diesen Dateien zu patchen. Verdächtig müsste erscheinen, dass die Quellen weder über das RedHat-Network zur Verfügung gestellt wurden, noch ein - wie bei RedHat üblich - fertiges RPM-Paket zur Verfügung gestellt wurde.
Die Sicherheitswebseite K-Optik ging diesem dubiosen "Update" auf den Grund.
Wie sich herausstellte, installiert das vermeintliche Update einen User "bin" mit administrativen Rechten und verschickt die aktuelle Systemkonfiguration und Uptime an eine E-Mail-Adresse. Der Rootkit startet zudem den SSHd, um das System von außen für den Angreifer erreichbar zu machen.
Generell sollten Updates ausschließlich von vom Hersteller genannten Quellen, im Fall von RedHat das RedHat-Network, heruntergeladen werden. (tle)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Linux |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |