CERT: sendmail-Sourcen mit Trojaner verseucht

CERT/CC warnt dringend vor dem Gebrauch von sendmail-Tarballs, die zwischen dem 28. September und 6. Oktober vom FTP-Server sendmail.org heruntergeladen wurden. Diese Kopien enthalten einen Trojaner.

Die Quelltexte enthalten eine Schadroutine, die während der Erstellung der Binaries über den TCP-Port 6667 eine Verbindung zu einem externen Server aufbaut. Auf diesem Weg kann ein Angreifer eine Shell öffnen. Diese läuft im Rechtekontext des Benutzers, der sendmail kompiliert. Nach momentanen Kenntnisstand bleibt der Trojaner nach einem Neustart des betroffenen Systems nicht aktiv. Die Backdoor wird jedoch bei jedem Rebuild der sendmail-Software erneut geöffnet.

Betroffen sind die Dateien sendmail.8.12.6.tar.Z und sendmail.8.12.6.tar.gz. CERT/CC empfiehlt dringend, die Authentizität der sendmail-Quellen anhand der PGP-Signaturen und MD5-Checksummen der echten Files zu überprüfen. Beide Angaben finden Sie bei Bedarf im CERT-Advisory zu dem Vorfall. Falls Ihr Rechner bereits betroffen wurde, finden Sie bei CERT auch einen Leitfaden zur Wiederherstellung kompromittierter Unix- und Windows-Systeme.

Quelltexte, die via HTTP heruntergeladen wurden, sind nach dem momentanen Kenntnisstand nicht betroffen. CERT/CC rät dennoch von der Benutzung ab und empfiehlt, sich die Quelltexte frisch bei sendmail.org zu besorgen. (jlu)