CERTsrapport/H2012

I slutten av januar ble det gjennomført hastepatching av flere arbeidsstasjoner på grunn av en root-exploit i forbindelse med SUID og skriving til /proc/pid/mem. De andre maskinene hadde for gammel kjerne til å være påvirket.

I februar og mars hadde vi et antall kompromitterte brukere, som vi ble oppmerksomme på etter advarsler fra sudo. Disse hadde fått passordene sine sniffet på en kompromittert maskin hos medisin. Brukerene fikk byttet passord og flyttet unna authorized_keys. Det ble vurdert dithen at dette var tilstrekkelig, da det ikke så ut til at noen av brukerene hadde klart å eskalere privilegiene sine.

På tidspunktet brukerene ble kompromittert hadde ikke CERT tilgang til loghost, da passordet hadde vært tapt en tid. Dette ble løst ved håndspålegging av maskinen i serverrommet.

I forbindelse med etterforskning av de kompromitterte brukerene viste det seg også at loghost ikke logget like mye som vi skulle ønske. Dette kom av for strengt oppsatt begrensning på source-port, noe som kom i konflikt med defaultoppsettet i debian. Dette problemet ble først identifisert og løst i starten av juni. Oppgaven var ikke spesielt krevende, men det tok såpass lang tid på grunn av kapasitetsproblemer i CERT.

CERT anbefaler for øvrig Drift å sette opp en loghost til som alle i Drift kan bruke. Dette for å gjøre en del feilsøking lettere for driftere som ikke er i CERT.

I mai oppgraderte CERT egenhendig alle maskiner som fortsatt kjørte etch, siden denne har vært uten sikkerhetsoppdateringer i lang tid.

CERT (eller resten av drift, for den saks skyld) har for øvrig ikke SSH-tilgang til KDC-ene for øyeblikket, da den eneste maskinen de godtok SSH fra er faset ut. Dette kan fikses med håndspålegging i serverrommet, og planlegges gjort Kun Kort Tid etter halvårsmøtet.

for CERT,
Knut Auvor Grythe