Злоумышленники модифицировали код почтового клиента SquirrelMail

image

Теги: код

Как сообщается на сайте проекта, неизвестные злоумышленники, используя, предположительно, одну из администраторских учетных записей, проникли в репозиторий SquirrelMail и внесли изменения в код приложения версий 1.4.11 и 1.4.12.

Неизвестные злоумышленники осуществили несанкционированную модификацию кода клиента электронной почты  SquirrelMail.

SquirrelMail представляет собой достаточно функциональный пакет веб-почты, написанный на PHP. В SquirrelMail реализована поддержка протоколов IMAP и SMTP, доступны дополнительные модули для ведения лог-файлов, фильтрации спама, шифрования корреспонденции и пр. Открытый пакет SquirrelMail распространяется по условиям лицензии GNU GPL и доступен более чем на 40 языках.

Как сообщается на сайте проекта, неизвестные злоумышленники, используя, предположительно, одну из администраторских учетных записей, проникли в репозиторий SquirrelMail и внесли изменения в код приложения версий 1.4.11 и 1.4.12. Через модифицированный вариант SquirrelMail киберпреступники теоретически могут получить несанкционированный доступ к удаленному компьютеру и выполнить на нем произвольные операции.

Пользователям, работающим с приложением SquirrelMail 1.4.11 или 1.4.12, настоятельно рекомендуется скачать с сайта проекта обновленную версию клиента электронной почты с индексом 1.4.13. Особенно это касается тех, кто загрузил SquirrelMail после 8 декабря текущего года.

Скачать обновленную версию клиента SquirrelMail можно отсюда.


или введите имя

CAPTCHA
1
20-12-2007 16:29:17
это наверное в первые раз такое. ну вааще обнаглели
0 |
1
20-12-2007 16:50:21
Ну вот ещё один минус опенсурса - незащищённость от той массы студентов, кторые пишут код за идею , а не за бабло, что теоретически может привести не только к ошибочному(из-за крикорукости), но и к вредоносному коду, который успеют загрузить многие пользователи, до того как проблема будет увидена и устранена вторым таким же криворуким студентом. Это кстати не впервой - возражу предидущему оратору.
0 |
1
20-12-2007 17:12:11
Не могу с вами согласиться. Я не вижу причин, почему оплачиваемый программист не может забэкдорить закрытый проект. На мой взгляд, определенный процент уязвимостей в той же windows вполне может быть именно намеренным вредительством со стороны обиженных индусов. Плюс опенсурса в данном случае как раз в том, что коммунити может найти бэкдор вне зависимости от того, сделал это оплачиваемый программист или "криворукий студент". И обращу, ваше внимание, что проблема не в том что был одобрен и закоммичен чей-то злонамеренный патч, а в том что у злоумышленников был административный доступ к хранилищу и они могли делать самостоятельные коммиты. Это то же самое, что если бы вы проникли в сеть разработчика закрытого ПО, получили доступ к их cvs, и внесли свое изменение в код. Уникальной именно для опенсурса эта ситуация не является.
0 |
1
20-12-2007 17:35:02
Ну вот ещё один минус опенсурса - незащищённость от той массы студентов, кторые пишут код за идею , а не за бабло Читать в школе не научили? It has been brought to our attention that the MD5 sums for the 1.4.12 package were not matching the actual package. We've been investigating this issue, and uncovered that the package was modified post release. This was believed to have been caused by a compromised account from one of our release maintainers. Какие нахрен студенты? Сломали аккаунт и заменили пакеты. И именно благодаря тому, что оно опенсорс, сей факт был обнаружен. Вот закрытое дерьмо как раз уязвимо как ничто, ибо никому не известно что проприетарщики меняют в своей поделке. Если будет украден доступ к аккаунту разработчика зактрытой софтины - тушите свет. Там бэкдоры будут закоммичены прямо в репозиторий, и никто об этом никогда не узнает. Но это будет капля в море дырок, которые из-за закрытости кода обнаружат не разработчики, не пользователи и не аудиторы кода, а злоумышленники, которые, конечно, никому о них не скажут. Так что не смешите про `минусы опенсорса'.
0 |
1
20-12-2007 19:00:05
Доступ к репозиторию у коммерческих фирм, как правило, открыт только для intranet'a. Кроме того в случае open и closed source, как только новый код будет обнаружен, о нем спросят автора коммита и подмена будет найдена. А в opensource злоумышленник может присоединится к проекту и, конечно, будет уверять, что его код не вредоносный.
0 |
1
20-12-2007 22:32:01
> Доступ к репозиторию у коммерческих фирм, как правило, открыт только для intranet'a. Ога: windows_nt_4_source_code.zip windows_2000_source_code.zip Cisco Ios-11.2-8 Source Tar.rar +HL2 sources > Кроме того в случае open и closed source, как только новый код будет обнаружен, о нем спросят автора коммита и подмена будет найдена. Открытый код смотрит большее число глаз. > А в opensource злоумышленник может присоединится к проекту и, конечно, будет уверять, что его код не вредоносный. Сервер, на котором выложены дистрибутивы шаровары может быть взломан, к инсталлятору прицеплен код бекдора и не факт, что об этом скоро узнают. В закрытом проекте обиженный сисадмин или программист может встроить в программу логическую бомбу, уничтожающую данные или хитрый бэкдор для себя. И это ведь реально происходило. Помню был случай - программист запустил перед увольнением самописный вирус, уничтожающий данные и какие стояли маты. На самом деле практически все упирается в доверие к разработчикам и администраторам. Но, как говорится: "Доверяй, но проверяй". Так вот открытый код позволяет проверить программу на вшивость. А в отсутствие недекларированных возможностей закрытой программы можно только верить, надеясь исключительно на добропорядочность разработчикам и полагая, что дистрибутив не был модифицирован никем посторонним, проверить нельзя.
0 |
1
21-12-2007 07:58:41
Собери мне пожалуйста Windows NT4 или Windows 2000 из своих сырцов
0 |
1
21-12-2007 10:19:47
ядро 2000 очень даже собирается. собирается винсок, файловая подсистема ... все работает, но далее собирать обломило.
0 |
1
20-12-2007 18:33:09
От нехороших людей из числа действующих и бывших сотрудников никто не застрахован.
0 |
1
20-12-2007 17:27:08
сто раз уже было. и с win update рассылались затрояненные обновления, и с aplle.com сливался трояненный софт, а уж подменённых дистрибов вообще не сосчитать сколько было.
0 |
1
20-12-2007 23:44:48
> с win update рассылались затрояненные обновления когда это такое было ???
0 |
1
21-12-2007 01:17:22
подумайте сами.... широкая публика никогда не узнает о том что ломанули microsoft.... они же удавяться но никогда не скажут этого, тут же выпустят апдейт удаляющий его. я уверен на 5000% что майкрософт ломали
0 |
1
21-12-2007 07:59:45
Твоя уверенность врятли когда-нибудь достигнет статуса факта для кого-нибудь кроме тебя, а тут факты на лицо.
0 |
1
22-12-2007 15:18:34
Versign однажды по ошибке выдала левый сертификат для подписи софта якобы от MS. В CRL-ах он появился только спустя несколько десятков часов - если это была "адресная" атака, то ломануть кого-то наверняка успели.
0 |
1
21-12-2007 09:57:48
> подумайте сами... пошел ты в зопу, гонщик спидди. sendmail затрояненый (и тоже не догадались поправить md5) - это было, факт. и я лично знаю человека, который скачал его, собрал, поставил, а на след.день охренел.
0 |
1
20-12-2007 19:45:04
Нет, пару лет назад тоже что-то почтовое патчили..
0 |
1
20-12-2007 17:10:28
генетическимодефицированная программа... Платный закрытый код! Но чтоб на заканодательном уровне было обговорина полная защита информации. Да и софт надо качать с сайта производителя.
0 |
1
20-12-2007 17:16:31
"на заканодательном" - это типа "если не купишь - заканаю"? "Полной защиты информации" не бывает - бывают только полные защитники ) типа Gadi Evron. Смысл новости как раз в том, что забэкдоренную версию squirrelmail выложили на сайте производителя.
0 |
1
20-12-2007 17:23:09
Где ты нашёл в новости что с сайта производителя? Они спамом рассылали ссылку на скачку.
0 |
1
20-12-2007 17:26:38
Бред написал, согласен.
0 |
1
20-12-2007 17:40:39
Где вы нашли упоминание про "спам со ссылкой на скачку"? Вот что написано на squirrelmail.org: It has been brought to our attention that the MD5 sums for the 1.4.12 package were not matching the actual package. We've been investigating this issue, and uncovered that the package was modified post release. This was believed to have been caused by a compromised account from one of our release maintainers. Original packages, stored on secure media, have been restored to the Sourceforge download servers, and additional signatures for the packages are now available on the SquirrelMail download page at http://www.squirrelmail.org/download.php т.е. заменены были пакеты на сурсфордже. А если посмотреть официальные линки для загрузки на сайте производителя, то мы видим, что они ведут на сурсфордж, т.е. производитель распространяет их таким образом - это весьма распространенная практика. И самое главное: The code modifications did not made it into our source control, just the final package Т.е. упоминание "репозитория" - вранье секлаба.
0 |
1
21-12-2007 15:29:16
> Т.е. упоминание "репозитория" - вранье секлаба. Если был бы подправлен код в репозитарии, то спалились бы моментально. Подтверждено попытками внедрить бэкдор в Linux и KDE. Хуже если исходники неизменные, а к бинарнику прицеплен бэкдор или бинарник собран из протрояненных исходников. Здесь или типо доверять сборщикам или дизассемблировать бинарники и искать сюрпризы или вообще не доверять бинарным пакетом и собирать программы на месте...
0 |
1
21-12-2007 15:30:10
/типо/тупо/
0 |
1
21-12-2007 08:34:55
Блин вчера ставил.... пойду смотреть, что за версию....
0 |
1
21-12-2007 09:29:06
"The code modifications did not made it into our source control, just the final package" Ну вот - качаешь пропатченный злоумышленником бинарник и заодно сырцы к нему. Но сырцы нормальные и ты успокаиваешься.
0 |
1
21-12-2007 10:28:34
Какой в черту бинарник? Это web-фронтенд к pop3/imap, написан на php.
0 |
1
21-12-2007 13:19:36
Ну да, не прав я в данном конкретном случае. Но если мой пост да применимо ко всему фри ПО в целом то смысл появляется.
0 |
1
21-12-2007 15:17:46
> Ну вот - качаешь пропатченный злоумышленником бинарник и заодно сырцы к нему. Но сырцы нормальные и ты успокаиваешься. 1) Параноикам разрешается собрать из исходников всю систему. 2) Свободные программы распространяются в виде исходников, и проходят стадию сборки мэйнтейнерами перед тем, как попасть в репозитарий дистрибутива. По теме. Оперативно. 8 декабря компрометация, 13 декабря - устранение последствий и выпуск уведомления. Если бы код был закрыт, то о закладке или никто не узнал бы или она была бы тихо устранена плановым обновлением, пользователи находились бы в неведении, свято веря в безопасность программной поделки, а репутация компании не пострадала бы. Закрытый код - идеальный инструмент чтобы скрыть наличие дыр, закладок(руткит Sony), грязных хаков, продать одну и ту же программу по разной цене(используется в Windows, домашняя редакция которой якобы не умеет входить в домен) и трюков, чтобы обойти конкурентов по тестам(широко используются в драйверах nVidia и AMD). Подход OpenSource гораздо честнее. Например, закладка в веб-интерфейсе SquirelMail была оперативно выявлена и теперь общественность знает, что разработчики и менеджеры проекта неспособны обеспечить отсутствие закладок в своем коде. Поэтому те, кому небезразличная безопасность, заменят SquirrelMail на альтернативу от более вменяемых разработчиков. капча 57755
0 |
1
21-12-2007 16:05:43
1) Параноикам разрешается собрать из исходников всю систему. А вот я, например, не параноик, но собираю из исходников. Я freebsd'шник Поэтому те, кому небезразличная безопасность, заменят SquirrelMail на альтернативу от более вменяемых разработчиков. Не согласен с вами. Пресловутый человеческий фактор "случается" со всеми людьми, даже супер-мега-эмси в безопасности. На то мы и люди, чтобы совершать ошибки, но стремиться свести число их появлений к минимуму.
0 |