O Gilberto Nunes encaminhou alerta do CAIS da RNP informando sobre códigos maliciosos incluídos nos fontes dos pacotes Tcpdump e Libpcap desde 31 de outubro. Se você fez download desses pacotes e os compilou desde o início desse mês, verifique em DETALHES. O comunicado não diz, mas o trojan foi descoberto pelo grupo de usuários Linux de Houston, que inclusive disponibiliza mais informações.
Prezados,
O CAIS esta' repassando informacoes tratando do comprometimento
dos pacotes Tcpdump e Libpcap onde foram identificadas a presenca de um
cavalo de troia. As primeiras informacoes sao de que as versoes foram
alteradas no dia 31/10/2002.
A versao alterada possui um trecho de codigo malicioso que e\\\' executado
durante o processo de geracao dos binarios. Este codigo malicioso
inicia uma conexao em um servidor remoto, 212.146.0.34 (mars.raketti.net), na
porta 1963/tcp.
Sistemas afetados:
http://www.tcpdump.org/release/libpcap-0.7.1.tar.gz
http://www.tcpdump.org/release/tcpdump-3.6.2.tar.gz
http://www.tcpdump.org/release/tcpdump-3.7.1.tar.gz
MD5 Sum 73ba7af963aff7c9e23fa1308a793dca libpcap-0.7.1.tar.gz
MD5 Sum 3a1c2dd3471486f9c7df87029bf2f1e9 tcpdump-3.6.2.tar.gz
MD5 Sum 3c410d8434e63fb3931fe77328e4dd88 tcpdump-3.7.1.tar.gz
Versoes corretas dos hashes MD5:
MD5 Sum 0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz
MD5 Sum 6bc8da35f9eed4e675bfdf04ce312248 tcpdump-3.6.2.tar.gz
MD5 Sum 03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz
O CAIS recomenda aos administradores que sempre verifiquem a
integridade de pacotes antes de proceder com uma atualizacao ou instalacao.