http://webwereld.nl/articles/52428/hackers-kraken-servers-redhat-en-fedora.html

http://www.redhat.com/security/data/openssh-blacklist.html

M.i. toch wel een zeer zorgelijke situatie die ik het posten op WHT wel waard vind. Hier inmiddels alle servers die dit lek hadden geupdate, gelukkig nog op tijd. Maar als je te laat bent kan de schade natuurlijk gigantisch zijn!

Allemaal even checken of je kwetsbare pakketten hebt dus! Sterkte.

Er is weinig openheid over de aard en manier van de hack; dat is wel wat vreemd...

We hadden de melding ook al gezien in de bugreleases...
Als ik het goed heb werkt cPanel echter met een aangepaste versie van OpenSSH en krijgen we daarom de melding "PASS: no suspect packages were found on this system" op al onze servers (toch even proberen voor de zekerheid ;)), alhoewel hier toch echt CentOS (RHEL) op staat. Kan iemand dat verifiëren?

Weet al iemand of dit ook voor CentOS geld?

Dat is mij niet geheel duidelijk, als ik op een kale CentOS 5.2 installatie het script run krijg ik:


[root@centos-test ~]# ./openssh-blacklist-1.0.sh
PASS: no suspect packages were found on this system

Lijkt goed dus, maar...als ik kijk welke packages er voor update beschikbaar zijn krijg ik ook een OpenSSH update:


[root@centos-test ~]# yum upgrade
Setting up Upgrade Process
Resolving Dependencies
--> Running transaction check
---> Package kernel.i686 0:2.6.18-92.1.10.el5 set to be installed
---> Package openssh-server.i386 0:4.3p2-26.el5_2.1 set to be updated
---> Package nspr.i386 0:4.7.1-1.el5 set to be updated
---> Package openldap.i386 0:2.3.27-8.el5_2.4 set to be updated
---> Package selinux-policy.noarch 0:2.4.6-137.1.el5 set to be updated
---> Package dhcpv6-client.i386 0:1.0.10-4.el5_2.2 set to be updated
---> Package selinux-policy-targeted.noarch 0:2.4.6-137.1.el5 set to be updated
---> Package nss.i386 0:3.12.0.3-1.el5.centos set to be updated
---> Package openssh-clients.i386 0:4.3p2-26.el5_2.1 set to be updated
---> Package openssh.i386 0:4.3p2-26.el5_2.1 set to be updated
---> Package yum.noarch 0:3.2.8-9.el5.centos.2.1 set to be updated
--> Processing Dependency: yum-fastestmirror for package: yum
--> Running transaction check
---> Package yum-fastestmirror.noarch 0:1.1.10-9.el5.centos set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

================================================== ===========================
Package Arch Version Repository Size
================================================== ===========================
Installing:
kernel i686 2.6.18-92.1.10.el5 updates 14 M
Updating:
dhcpv6-client i386 1.0.10-4.el5_2.2 updates 121 k
nspr i386 4.7.1-1.el5 updates 118 k
nss i386 3.12.0.3-1.el5.centos updates 1.1 M
openldap i386 2.3.27-8.el5_2.4 updates 288 k
openssh i386 4.3p2-26.el5_2.1 updates 283 k
openssh-clients i386 4.3p2-26.el5_2.1 updates 445 k
openssh-server i386 4.3p2-26.el5_2.1 updates 255 k
selinux-policy noarch 2.4.6-137.1.el5 updates 381 k
selinux-policy-targeted noarch 2.4.6-137.1.el5 updates 911 k
yum noarch 3.2.8-9.el5.centos.2.1 updates 582 k
Installing for dependencies:
yum-fastestmirror noarch 1.1.10-9.el5.centos base 13 k

Transaction Summary
================================================== ===========================
Install 2 Package(s)
Update 10 Package(s)
Remove 0 Package(s)

Total download size: 18 M

Voor CentOS is inderdaad ook een update m.b.t. OpenSSH beschikbaar.

Ja psies dat had ik ook, toch maar geupdate, het geld trouwens ook niet voor CentOS4 zag ik.
Mja ff verder zoeken nog :)

Vergeet de service sshd restart niet ;-).

Zo te zien zijn de CentOS machines niet infected: http://www.karan.org/blog/index.php/2008/08/22/

Inderdaad BerArt, dat maak ik ook op uit alle berichten uit het CentOS kanaal.

Toch de update maar gedraait, kan nooit kwaad.

Precies! Ik merk wel op dat niet op al onze CentOS servers de update beschikbaar is.

Wel op alles CentOS 5 machines, op de CentOS 4 machines waren er (nog?) geen updates...