Angriff auf den Linux-Kernel

Offenbar hat sich ein Einbrecher Root-Rechte auf dem Haupt-Distributions-Server für den Linux-Kernel und einige Linux-nahe Software besorgen können. Vermutet wird, dass der Einbruch über einen kompromittierten User-Account gelang. So konnte eine Sicherheitslücke genutzt werden, um die Root-Rechte zu erschleichen.

Schon Mitte August fiel der Server durch ungewöhnliches Verhalten auf. Nach einem Neustart und einem Kernel-Update kam es demnach zu Kernel Panics. Seltsamerweise hat der Angreifer sich dort nur eingenistet und Kleinigkeiten verändert. Beispielsweise wurde ssh ersetzt.

Derzeit wird aber immer noch geprüft, ob die Quellcode-Depots verändert wurden. Der Linux-Kernel blieb offenbar aber unangetastet. Die Notiz auf kernel.org machte keine Angaben zur Unversehrtheit der Kernel-Patches und Tar-Archive. Über PGP-Signaturen lässt sich deren Integrität überprüfen. Diese werden aber auf einem kernel.org-Server erzeugt. Inwieweit der Angreifer also die Möglichkeiten hatte, ein modifiziertes Archiv selbst zu signieren, ist noch ungeklärt. Der Schaden durch den Einbruch scheint aber bei kernel.org deutlich geringer als bei anderen Hostern von Quellcode-Depots. Das liegt am Einsatz von Git für die Kernel-Entwicklung. Jede Quellcodedatei verfügt über einen eigenen SHA1-Hash. Dadurch wird jede Datenveränderung sofort bemerkt. Nutzer, die den Linux-Quellcode mit Git beziehen, sind daher geschützt vor Schadcode-infizierten Versionen.

Weitere Details zum Angriff auf kernel.org erklärt der LWN.net-Chef und Kernel-Hacker Jonathan Corbet von der Linux-Foundation in seinem Blog Linux Wether Forecast.