Kiszivárogtatott információk – hiba a Linuxokban

Magát Hack4Life-nak nevezi az a hacker, aki szerdán egy olyan cég adatbázisába jutott be, amely kapcsolatban van a Computer Emergency Response Team (CERT) Coordination Centerével – ez a szervezet egyébként a felmerülő biztonsági hibák kezelésében, az arra való megoldások létrehozásában nyújt segítséget a szoftverfejlesztő vállalatoknak. A támadó betörésének módjáról és az elsődlegesen megszerezni kívánt információkról nem árult el többet, de három, Linuxokat érintő biztonsági hibáról említést tett.

Az első az eredetileg Sun Microsystem által elkészített library-val kapcsolatos (ez számos UNIX- és Linux-alapú operációs rendszerben megtalálható). A következő támadási felületet a Kerberos hitelesítő rendszer nyújtja, melynek kihasználásával a támadó másnak adhatja ki magát, mint aki valójában. Végül a harmadik hiba azon szervereket érintheti, amelyek Secure Socket Layert (SSL) használnak – ezzel a szoftver kódolása feltörhető.

Elismerték a hibák meglétét, és azok kiszivárgását a CERT Coordination Centerénél, hozzátéve azt, hogy valamelyik, az esetben érintett, a hibákhoz hozzáférő cég (melyekből egyébként ötvenet tartanak számon), vagy annak alkalmazottja tette hozzáférhetővé. Sean Hernan, a biztonsági rések jelentette veszélyeztetettség kezeléséért felelős csapat vezetője elmondta, hogy az ilyen esetekkel, amikor névtelenül kerül ki egy levelezőlistára az információ, nem nagyon lehet mit kezdeni. Ettől függetlenül működési metódusukat helyesnek ítélte, s nem tervezik, hogy változtatnának a hibakezelési eljáráson.