[Debian] Servers debian project gekraakt (toch geen hoax!)

Latest News

[10 Nov 2003] Debian wins several Readers' Choice Awards
[10 Oct 2003] Debian wins 2003 Linux Journal Readers' Choice Award
[05 Oct 2003] Debian Project at several Conferences in Europe
[11 Aug 2003] Debian celebrates its 10th Birthday
[28 Jul 2003] Successful Debian Conference in Oslo finished
[06 Jul 2003] Debian Project at several Conferences in Europe
[31 May 2003] Debian at Conferences in Austria and Brazil
[05 May 2003] Debian Project at Conferences in Italy and Austria
[14 Mar 2003] Debian Project at CeBIT and OOoCon
[24 Feb 2003] Debian Project at several Events in Europe
[15 Feb 2003] Debian Project at Desktop Linux Summit
[07 Feb 2003] Debian joins Desktop Linux Consortium
[27 Jan 2003] Debian at Solutions Linux and FOSDEM
[19 Jan 2003] Debian Project at Events in Australia, USA and Germany
[02 Jan 2003] Public accessible Debian Machine

[ Voor 95% gewijzigd door DeMoN op 21-11-2003 11:17 ]

[ Voor 45% gewijzigd door Verwijderd op 21-11-2003 11:19 ]

on Fri, Nov 21, 2003 at 01:07:20PM +0530, Raghavendra Bhat (ragu@asianetonline.net) wrote:
> Jerome posts:
>
>
>> What happens to www.debian.org ?
>
> Someone has cracked all the servers of the Debian Project. There has
> been a severe security mishap and guys should uninstall all stuff
> downloaded and installed in the past 2 days. Please do not apt-get
> anything right now! Please wait till an `official' release happens

!Hoax.

[ Voor 62% gewijzigd door Verwijderd op 21-11-2003 11:39 ]

Sean was one of many to pass along the bad news from the debian-announce mailing list: "Some Debian Project machines have been compromised. This is a very unfortunate incident to report about. Some Debian servers were found to have been compromised in the last 24 hours. The archive is not affected by this compromise! In particular the following machines have been affected: 'master' (Bug Tracking System), 'murphy' (mailing lists), 'gluck' (web, cvs), 'klecker' (security, non-us, web search, www-master). Some of these services are currently not available as the machines undergo close inspection. Some services have been moved to other machines (www.debian.org for example). The security archive will be verified from trusted sources before it will become available again." They were going to announce 3.0r2 this morning; they've checked it and it's unaffected but obviously they're still postponing that release.

Subject: [SECURITY] Some Debian Project machines have been compromised
From: Martin Schulze <joey@infodrom.org>
Date: Fri, 21 Nov 2003 17:46:47 +0100
To: bugtraq@securityfocus.com

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- ------------------------------------------------------------------------
Debian Security Advisory http://www.debian.org/security/
Some Debian Project machines compromised security@debian.org
November 21st, 2003 debian-security-announce@lists.debian.org
- ------------------------------------------------------------------------

Some Debian Project machines have been compromised

This is a very unfortunate incident to report about. Some Debian
servers were found to have been compromised in the last 30 hours.

The archive is not affected by this compromise!

The security server is not yet restored and security updates are
currently not available.

In particular the following machines have been affected:

. master (Bug Tracking System)
. murphy (mailing lists)
. gluck (web, cvs)
. klecker (security, non-us, web search, www-master, qa)

Some of these services are currently not available as the machines
undergo close inspection. Some services have been moved to other
machines (www.debian.org for example).

The security archive will be verified from trusted sources before it
will become available again.

Please note that we have recently prepared a new point release for
Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been
announced yet, it has been pushed to our mirrors already. The
announcement was scheduled for this morning but had to be postponed.
This update has now been checked and it is not affected by the
compromise.

We apologise for the disruptions of some services over the next few
days. We are working on restoring the services and verifying the
content of our archives.


Contact Information
- -------------------

For further information, please visit the Debian web pages at
<http://www.debian.org/> or send mail to <press@debian.org>.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD4DBQE/vkFtW5ql+IAeqTIRApL5AJjT8aptDgGwDV+5diAwFJo9M1lnAKCg46pU
D2oP7vcGYBJF0hFSD5YU6Q==
=7brj
-----END PGP SIGNATURE-----

[ Voor 28% gewijzigd door Hans op 22-11-2003 02:16 ]

DiedX schreef op 22 november 2003 @ 01:54:
Toch vind ik het wel een discussie waard. Vermoedelijk draaien er duizenden, wellicht miljoenen systemen onder Debian, en deze zouden dan in één klap waardeloos worden.

Hoe kijken jullie er tegen aan?

[ Voor 11% gewijzigd door Room42 op 22-11-2003 05:19 ]

DiedX schreef op 22 november 2003 @ 01:54:
Toch vind ik het wel een discussie waard. Vermoedelijk draaien er duizenden, wellicht miljoenen systemen onder Debian, en deze zouden dan in één klap waardeloos worden.

Hoe kijken jullie er tegen aan?

DiedX schreef op 22 november 2003 @ 01:54:
Toch vind ik het wel een discussie waard. Vermoedelijk draaien er duizenden, wellicht miljoenen systemen onder Debian, en deze zouden dan in één klap waardeloos worden.

Hoe kijken jullie er tegen aan?

[ Voor 3% gewijzigd door Confusion op 22-11-2003 10:37 ]

Pinball schreef op 22 november 2003 @ 12:45:
Tja.. nieuwe/veranderde packages -> nieuwe hashes. Dat systeem is dus zo lek als een mandje, en alleen bedoeld om fouten tijdens het transport te ontdekken.

Pinball schreef op 22 november 2003 @ 12:15:
Hji overdrijft niet, volgens mij bedoelt hij dat het potentieel van een compromised package systeem wat zoveel gebruikt wordt nogal angstaanjagend is.

Confusion schreef op 22 november 2003 @ 13:00:
<..>

[ Voor 2% gewijzigd door pinball op 22-11-2003 13:37 . Reden: speeling ]

Pinball schreef op 22 november 2003 @ 13:36:
Ik heb er helemaal niets aan dat duizenden mensen de goede hashes hebben als apt vrolijk compromised packages installeerd met correcte (ook compromised) hashes.

Het gaat mij dus niet over deze ontdekte hack, maar over de mogelijkheid van een langdurige of onontdekte hack waartegen apt geen bescherming biedt, en die volgens mij vrij simpel op te lossen zou zijn met het signen van hashes.

ajvdvegt schreef op 22 november 2003 @ 16:42:
Nee, Debian 3.0r2 is net gereleased dus het klopt dat je veel updates hebt. De officiele announcement is door dit alles even uitgesteld, maar de pakketten stonden al wel op de servers. Dat staat toch ook in een van de posts? Alleen 'security' zal voorlopig even niet berijkbaar zijn.

1
2
3
4

desert:/# apt-get update
Get:1 http://non-us.debian.org stable/non-US/main Packages [44.5kB]
Hit http://security.debian.org stable/updates/main Packages
Hit http://security.debian.org stable/updates/main Release

[ Voor 38% gewijzigd door Verwijderd op 23-11-2003 09:29 ]

[ Voor 79% gewijzigd door Verwijderd op 28-11-2003 07:22 ]

DiedX schreef op 25 november 2003 @ 21:38:
Korte vraag: ik had vanmiddag problemen om de packages te bereiken. (packages.debian.org). Is dat ook hieraan gerelateerd?

_JGC_ schreef op 26 november 2003 @ 09:46:
Er zijn zat mirrors te vinden, maar die 4 servers die gehackt waren, zijn de master servers waar alle hoofdzooi op gehost is. security en non-US worden gewoon door normale mirrors gemirrord in een subdirectory.

Probleem met een gehackte masterserver is dat je meteen alle mirrors ook niet meer kunt vertrouwen die na de hack gemirrord hebben, dus heb je aan een goed mirrorsysteem helemaal niets in zo'n geval.

[ Voor 36% gewijzigd door PipoDeClown op 28-11-2003 11:56 ]

ge-flopt schreef op 10 december 2003 @ 14:47:
Weet er iemand of de servers weer correct functioneren van debian? Er wordt niets meer vermeld in de nieuws brief, maar kan ook weinig info verder over vinden.

ge-flopt schreef op 10 december 2003 @ 18:02:
Nee die heb ik niet gekregen. Bij welke mailinglist moet je zitten om dit soort berichten te krijgen? Ik krijg wekelijks zo'n bericht met wat kleine dingetjes, maar da's leuk om te lezen, maar er zijn er meer maar ik weet nog niet op welke ik moet/wil "abonneren"

[ Voor 10% gewijzigd door avatar op 11-12-2003 18:32 ]

Confusion schreef op 11 december 2003 @ 17:43:
[...]

Nou, ik ben sinds een storing van de mailserver niet meer geabonneerd op enige mailinglist (na een aantal bounces verwijderen ze je automatisch en sturen later nog een vriendelijk mailtje waarin ze je vertellen hoe je je weer aan kan melden), dus volgens mij hoor je die te krijgen als je de Debian Weekly News krijgt. Ik ben tenminste voorzover ik weet nergens anders meer op geabonneerd.

avatar schreef op 11 december 2003 @ 17:54:
Ik kan alleen nog steeds nergens een net-install mini iso vinden voor 'testing' sarge. Alles op gluck.debian.org lijkt foetsie?

[ Voor 19% gewijzigd door smoking2000 op 11-12-2003 21:45 ]

smoking2000 schreef op 11 december 2003 @ 21:42:
[...]

"Unoffical" ISO 1 van ftp://ftp.fsn.hu/pub/CDROM-Images/debian-unofficial/ is bootable, en redelijk recent.

smoking2000 schreef op 11 december 2003 @ 21:42:
Ik krijg alle lists die ik in m'n vorige post heb genoemt allemaal nog gewoon. Vaag...

Verwijderd schreef op 18 december 2003 @ 12:26:
Heeft iemand een idee wanneer packages.debian.org site het weer gaat doen want dit duurt al best lang.

Steven schreef op 18 december 2003 @ 21:44:
Heb het gevoel dat niet alle packages op dit moment met het oude vertrouwde tempo geupdate wordt. Wel erg jammer... Ik hoop dat dit binnenkort weer wordt opgepakt.