Fecha de Liberación: 13 de Agosto de 2003(20:00 PM +6 GMT)
Ultima Revisión: - - - - -
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes.
DESCRIPCIÓN
===========
El Proyecto GNU <http://www.fsf.org/gnu/thegnuproject.html>,
principalmente soportado por Free Software Foundation
<http://www.fsf.org/> (FSF), produce una variedad de software que
está disponible de forma gratuita. El CERT/UNAM-CERT ha determinado
que el sistema primario de los servidores FTP del proyecto de
software GNU, /gnuftp.gnu.org/, fue comprometido por un intruso. Los
nombres de los servidores comunes /ftp.gnu.org/ y /alpha.gnu.org/
son aliases del mismo sistema comprometido. La fecha de la intrusión
fue reportada como ocurrida en Marzo del 2003.
La FSF ha liberado un aviso <ftp://ftp.gnu.org/MISSING-FILES.README>
describiendo el incidente.
Debido a que estos servidores son un sistema centralizado de
archivos de software popular, la inserción de código malicioso
dentro del software distribuido es una amenaza seria. Sin embargo,
se cree que ningún código de las distribuciones ha sido modificado
maliciosamente hasta este momento.
IMPACTO
=======
La existencia potencial de que un intruso pudiera haber insertado
puertas traseras, troyanos, o otros códigos maliciosos dentro de los
códigos fuente de las distribuciones del software almacenado en el
sistema comprometido.
SOLUCIÓN
========
Se recomienda a los sitios que se encuentren utilizando software GNU
obtenido del sistema comprometido que verifiquen la integridad de su
distribución
Se recomienda a los sitios espejo del código fuente que verifiquen
la integridad de los mismos. También se recomienda a los usuarios
que revisen cualquier otro software que pudiera haber sido
descargado del sitio comprometido. Se debe considerar que no siempre
es suficiente confiar en la fecha y/o tamaño cuando se trata de
determinar si una copia de un archivo ha sido modificada.
* Verificar la Integridad
La Fundación para el Software Libre (FSF por sus siglas en inglés)
ha producido listas firmadas con PGP conteniendo las firmas
digitales generadas con MD5 de los paquetes de software alojados en
el servidor comprometido. Estas listas pueden ser encontradas en:
ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc
ftp://alpha.gnu.org/before-2003-08-01.md5sums.asc
Se debe hacer notar que ambos archivos y el anuncio anterior son
firmados por Bradley Kuhn, Director Ejecutivo de la FSF, con la
siguiente llave PGP:
pub 1024D/DB41B387 1999-12-09 Bradley M. Kuhn
Key fingerprint = 4F40 645E 46BE 0131 48F9 92F6 E775 E324 DB41 B387
uid Bradley M. Kuhn (bkuhn99)
uid Bradley M. Kuhn
sub 2048g/75CA9CB3 1999-12-09
El CERT/UNAM-CERT confían en que esta llave es válida.
Como una buena práctica de seguridad, el CERT/UNAM-CERT recomiendan
a los usuarios verificar, cuando sea posible, la integridad del
software descargado. Para mayor información, se puede consultar la
Nota de Incidentes del CERT IN-2001-06
<http://www.cert.org/incident_notes/IN-2001-06.html>.
APÉNDICE A. Información de Distribuidores
=========================================
Este apéndice contiene información proporcionada por los
distribuidores de éste boletín. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada.
* Free Software Foundation <http://www.fsf.org/>
Todos los archivos actuales en alpha.gnu.org y ftp.gnu.org como
del 02-08-2003 han sido verificados y sus firmas md5 y las
razones por las cuales se cree que las firmas pueden ser
confiables están en:
ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc
ftp://alpha.gnu.org/before-2003-08-01.md5sums.asc
Se está actualizando el archivo y el sitio, así como se están
confirmando las firmas md5 de archivos adicionales. Es posible
teóricamente que las descargas realizadas entre Marzo y Julio
del 2003 pudieron haber sido de fuentes comprometidas, así que
se recomienda descargar nuevamente las fuentes y compararlas con
las copias actuales de los archivos en el sitio ftp.
* APÉNDICE B. Referencias
=========================
* Anuncio de la Fundación para el Software Libre acerca del
incidente
ftp://ftp.gnu.org/MISSING-FILES.README
<ftp://ftp.gnu.org/MISSING-FILES.README"";>
* Nota de Incidente del CERT IN-2001-06
http://www.cert.org/incident_notes/IN-2001-06.html
------------------------------------------------------------------------
Se agradece a Bradley Kuhn y Brett Smith de Free Software Foundation
por su asistencia en este problema.
------------------------------------------------------------------------
Autor versión original: * Chad Dougherty
<mailto:[EMAIL PROTECTED]>. *
El *Departamento de Seguridad en Cómputo/UNAM-CERT* agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* José Inés Gervacio ([EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>)
* Fernando Zaragoza Hernández ([EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>)
------------------------------------------------------------------------
INFORMACIÓN
============
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2003-21.html
http://www.seguridad.unam.mx (espan~ol)
http://www.unam-cert.unam.mx (espan~ol)
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : [EMAIL PROTECTED]
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: [EMAIL PROTECTED]
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBPzriRHAvLUtwgRsVAQHDTQf7BnOiCXFIDfQV3hx/eE588ouUlvm5MALh
hS8KSIHJcAU2F3T/mExezSMu6FwaQEtQMrqUAPprYETa1kHvimLZtnQNgW4CyFrI
su0vn5o5CJGjY2AW2Ndf+MKIbfh53DSKXm78uqKC+oRl/0X5tyI3RJHSEQ8+NjOu
21hRM2QMXvupzYjxP+f67JJHMl5KJWelne88FdCtVVLV01NkesvxZqRq3caD2n8W
sBfVufCcj0x0QGe8iI6NForcK84ocfFbgN1cET8xx1V5WBYcS2+6VARVV8r+9T5X
Nx7dYwUmjJcXN+IQR1as8FM6da+wpyQrMml8G/XBJJcmJ4JHyfGMog==
=uzIb
-----END PGP SIGNATURE-----
