Slik ble Aftenposten angrepet

De tre datasnokene som i helgen endret forsiden til Aftenposten Interaktiv, utnyttet et kjent hull i Solaris-operativsystemet for å få tilgang til alle filene.

"Tobby", den ene av de tre datasnokene som byttet ut forsiden til Aftenposten Interaktiv natt til søndag, har overfor digi.no antydet hvilket sikkerhetshull som er blitt benyttet. Alt tyder på at hullet ble offentliggjort på Bugtraq-nettstedet allerede 22. mai. Biblioteket libc i Solaris flyter over når det håndterer variabelen LC_MESSAGES. Når en bruker gir LC_MESSAGES en lang streng som verdi og deretter kjører /bin/sh, så utfører operativsystemet en såkalt core dump - det vil si at innholdet i viktige deler av minnet skrives til en fil for at brukeren skal kunne finne ut hva som gikk galt.

Innsenderen til Bugtraq skriver at den lange strengen som tilordnes LC_MESSAGES, inneholder kode som setter igang suid-programmet ved hjelp av execl()-kommandoen. Dette fører til at lokale brukere får rot-aksess, det vil si alle rettigheter.

Hullet skal finnes i Solaris-utgavene 2.6 og 7, men ikke 2.4 og 2.5-utgavene.

Innsendere til Bugtraq forteller at det finnes flere måter å tette igjen dette hullet på. For detaljer om dette se artiklene om "Solaris libc exploit" fra andre kvartal 1999 på Bugtraq. Ingen ved Sun Microsystems Norge kunne onsdag ettermiddag bekrefte at hullet eksisterer eller om en fiks er tilgjengelig.

I den første av de nevnte Bugnet-artiklene finnes også et eksempel på kode til et program som kan utnytte dette hullet. Peker til denne finner du nedenfor.

Så får vi bare håpe at Sol System nå har tettet igjen hullet. Grethe Viksaas i Sol System vil ikke bekrefte at det var det nevnte sikkerhetshullet i Solaris som gjorde innbruddet på Aftenpostens Interaktiv mulig. Viksaas har heller ingen kommentar til digi.no sitt spørsmål om hun mener sikkerheten ved Sol System er god nok.

Det er Sol System som drifter Aftenpostens webserver.

Til toppen