Linux unter Beschuss: Aufregung um Debian-Eindringlinge

Gravierende Sicherheitsmängel bei dem Open-Source-Projekt Debian versetzen die Linux-Entwickler weltweit in Unruhe. Zwar wurde kein produktives System einer Manipulation ausgesetzt, sondern vier der Debian-Server. Jetzt aber wird darüber debattiert, ob die Verantwortlichen schnell genug und angemessen reagiert haben.
Einem bisher unbekannten Hacker war es gelungen, auf dem Rechner eines Debian-Entwicklers einen Key-Logger zu platzieren, mit dem das Passwort für einen Zugang auf einem der Server mitgelesen wurde. Mit diesen Zugangsdaten war es dem Angreifer in der Folge möglich, einen Bug im Kernel des Betriebssystems derart auszunutzen, dass die bis dahin limitierten Rechte des Accounts ausgeweitet wurden. Dies geschah über einen Integer Overflow, der einen Zugriff auf den gesamten Adressraum des Kernels ermöglichte – ‘Privilege Escalation’ genannt. Sicherheitsspezialisten von Suse und Red Hat entdeckten diesen Zusammenhang. Neben den wachsamen Augen der Entwickler soll auch das digitale Signieren von Uploads für Sicherheit vor nicht autorisierten Zugriffen sorgen.

Der fragliche Kernel-Bug ist bereits seit knapp drei Monaten bekannt. Warum die bisher bereitgestellten Fixes auf dem Entwickler-Server nicht wirksam wurden, ist derzeit noch strittig. Der Vorfall ereignete sich bereits am 19. November, wie jetzt rekonstruiert wurde. Die Fixes kamen allerdings zu spät, um noch in die Kernel-Version 2.4.22 eingearbeitet zu werden und liegen seit vergangenem Freitag in der Version 2.4.23 vor.

Betroffen war zunächst nur der ‘Klecker’-Server, der Hacker verschaffte sich dann aber auch Zugriff auf ‘Murphy’, ‘Gluck’ und ‘Master’. Darauf sind unter anderem die Datenbank für den Quellcode, das Bug Tracking System, Sicherheits-Patches, Mailinglisten und die Debian-Website untergebracht.

Jedenfalls häufen sich in den vergangenen Wochen die Vorfälle in der Open-Source-Entwicklerwelt. Anfang November hatte ein Hacker versucht, einen schwerwiegenden Bug in den Kernel einzuschleusen, was aber verhindert werden konnte. Im vorigen Jahr war es Crackern gelungen, im Tcpdump-Tool eine Spyware unterzubringen.

Derzeit sind die Entwickler-Accounts auf den Servern gesperrt. Die einzelnen Dienste würden im Zuge der Überprüfung nach und nach wieder aufgeschaltet, heißt es, Wann die Server der Entwicklergemeinde wieder voll zur Verfügung stehen werden, ist noch nicht bekannt. Debian hat sich einen Namen gemacht, weil in dem strikt nichtkommerziellen Projekt eine deutlichere Trennungslinie zu proprietären Bestandteilen gezogen wird. Die Distribution wird deshalb von erfahrenen Linux-Anwendern bevorzugt, denen eine durchgehende Offenheit des Quellcodes besonders wichtig ist.