Auronia IRC News

Das UnrealIRCd Team hat nun herausgefunden, dass die Unreal3.2.8.1.tar.gz Version von manchen Mirror-Servern durch eine andere Datei ersetzt wurde und diese dann ein Backdoor-Programm (bzw. Trojaner) enthält. Diese Sicherheitslücke erlaubt einem User ohne besondere Previlegien jeden Shell-Befehl von dem User auszuführen, auf dem der IRCd läuft. Scheinbar wurde die .tar.gz Datei im November 2009 auf einigen Servern ausgetauscht und bisher hat es keiner bemerkt. Damit dies nie wieder passiert will das UnrealIRCd Team Vorsichtsmaßnahmen treffen, u.a. wird daher die PGP / GPG Signierung von dem Release wieder eingeführt.
Betroffen sind nicht die Windows-Versionen (SSL und non-SSL), CVS-Versionen sowie die Versionen 3.2.8 und älter. Wenn das Paket vor dem 10. November 2009 gedownloaded worden ist, dann sollte man auch nicht betroffen sein, aber man sollte es lieber überprüfen.
Überprüfen kann man seine Version aus zwei Wegen: Einmal kann man seine Unreal3.2.8.1.tar.gz mit “md5sum Unreal3.2.8.1.tar.gz” überprüfen.
Die Checksums lauten:

Backdoor-Version (BAD): 752e46f2d873c1679fa99de3f52a274d
Offizielle Version (GOOD): 7b741e94e867c0a7370553fd01506c66

Bei der anderen Methode führt man im Unreal3.2 Verzeichnis “grep DEBUG3_DOLOG_SYSTEM include/struct.h” aus. Werden zwei Zeilen angezeigt nutzt man die Backdoor-Version, erscheint keine Zeile nutzt man die sichere Version.
Falls man eine infizierte Version nutzt, soll man die aktuelle Version von der UnrealIRCd Seite downloaden, die MD5 oder SHA1 Checksums überprüfen und dann den IRCd neu kompilieren und neu starten.
Noch einmal die Checksums für alle Dateien:

7b741e94e867c0a7370553fd01506c66 Unreal3.2.8.1.tar.gz
5a6941385cd04f19d9f4241e5c912d18 Unreal3.2.8.1.exe
a54eafa6861b6219f4f28451450cdbd3 Unreal3.2.8.1-SSL.exe

Dies sind die gleichen Checksums wie in der Ankündigung am 13. April 2009.

Die Nachricht erschien sogar auch schon bei den Heise News – siehe hier.

UPDATE: Jetzt ist es auch schon bei Gulli zu finden.