19 nov 2012

Freebsd.org ha sido comprometido | Anteriormente le tocó a kernel.org y nadie está exento

Dos servidores del cluster freebsd.org han sido comprometidos en la última semana.

Fue anunciado por el FreeBSD Security Team el 11 de Noviembre.
Varios servicios fueron dados de baja por precaución.
La brecha de seguridad se dío a partir de un leak de una SSH key y no hay signos de que se haya producido algún daño.

Como resultado de este episodio, FreeBSD ha decidido dar de baja algunos servicios "legacy" como cvsup, en favor de otros mas robustos como Subversion, freebsd-update y portsnap.

Aseguran que NO PUEDEN garantizar la integridad de ningún paquete en instalaciónes comprendidas entre las fechas 19 de Septiembre y 11 de Noviembre, así como ports u otras compilaciones obtenidas de svn.freebsd.org o algunos de sus mirrors.
Se recomienda realizar una reinstalación si es el caso de alguno de los que lee esto, usando fuentes confiables.
El binario freebsd-update NO ha sido comprometido, eso si puede afirmarse, dado que es usado en una infraestructura separada de la que fue comprometida.
Asi como también portsnap y Subversion, en sus ultimos snapshots, son 100% seguros.

Recomendaciones extra:

Si usan cvsup/csup, dejar de usarlo de forma inmediata.
Si usan cvsup/csup para los ports, cambiar a portsnap.
Si usan cvs/anoncvs/cvsup/csup para el source, cambiar a freebsd-update, para tener un sistema firmado.
Si ya estan usando portsnap, realizar "portsnap fetch && portsnap extract" para tener el snapshot mas reciente.
El snapshot mas reciente de portsnap ha sido verificado para que matchee exactamente con el repositorio Subversion auditado.
Como precaucion las updates de portsnap han sido suspendidas.

Quien en su momento lleno algun comentario de blog, IRC o mail diciendo "esto le pasa a kernel.org pero a BSD no le pasaría", ahora deberá pensar que nada ni nadie es invulnerable.
Al margen de ello, algo compromete mas a FreeBSD que a Linux, el hecho de que en los servidores esta contenido el sistema entero a diferencia de Linux, que solo podria haber sido comprometido el kernel, pero, no asi los repos de cada distro.
Con lo cual, esto demuestra, que la descentralización es buena, en episodios como este.
En ambos casos, este y el de kernel.org, se debio a un leak de una key SSH, con lo cual, deduzco que, o bien no todos los commiters son personas idoneas (paranoicos de la seguridad teniendo en cuenta el acceso que poseen) o bien, en un caso y el otro hubo algun malintencionado.

Mas info



2 comentarios:

  1. Jo, que forma de alarmar al personal: "no pueden garantizar la integridad de ningún paquete", ni que hubiera una infección en masa, xD.
    Justo unos días después de que me dijeras que BSD no estaba en su mejor momento...

    ResponderEliminar
    Respuestas
    1. No creo que sea alarmar, si prevenir, y me parece bien, antes que estar en duda, es preferible descartar TODOS los posibles paquetes infectados.
      No recuerdo haberte dicho que BSD que no estaba pasando por su mejor momento, pero ya que lo decís, si, asi es, hace ya un tiempo, que incluso OpenBSD está avanzando mas en su desarrollo que FreeBSD. De todos modos, no digo que BSD sea malo, todo lo contrario, es lo mas parecido a UNIX, pero, desde mi punto de vista, al día de la fecha, ha sido superado por Linux en muchos aspectos y de manera muy fuerte. El ejemplo mas demostrativo de ello es la virtualización, en BSD está como en Linux por la version 2.5 del kernel. ACPI ha mostrado pequeños avances, y bueno, que decir... top500.org solo unas cuantas supercomputadoras usan BSD u otro UNIX (HP-UX), eso también demuestra su falta de alto desempeño en clusterización y velocidad de computo trabajando en cluster.

      Eliminar

Dejá tu comentario