18 Kasım 2012 Pazar

FreeBSD Güvenlik Uyarısı!

FreeBSD.org altyapsını oluşturan sistemlere yetkisiz kişi veya kişilerin FreeBSD geliştiricilerinden birisine ait olan bir OpenSSH anahtarını ele geçirip alt yapıdaki iki sisteme yetkisiz erişim sağladıkları FreeBSD Güvenlik ekibi tarafından tespit edilmiş. Söz konusu olaya ilişkin açıklama bu gün itibari ile FreeBSD.org sitesinde yayınlandı.Yapılan açıklamaya göre OpenSSH anahatarını ele geçiren kişi veya kişiler ilk olarak 19 Eylül 2012 tarihinde sistemlere giriş yaptıkları belirlenmiş. Olay ise güvenlik ekibi tarafından 17 Kasım 2012 tarihinde tespit edilmiş.

Kişi veya kişilerin alt yapıyı oluşturan iki sisteme eriştikleri ilk incelemede belirlenmiş ve bu sistemler kapatılıp incelenmeye alınmış. Diğer sistemlere de erişilmiş olabileceği olasılığını göz önüne alan ekip diğerlerini de kapatıp incelemeye almış.

Yapılan inceleme de söz konusu sistemlerde yetkisiz erişim sağlayan kişilerin SSH anahtarlarını kullandıkları kesinlik kazanmış Söz konusu sistemlerde bir güvenlik açığı veya başka bir zayıflık kullanılarak erişilmediği de belirlenmiş. Yetkisiz erişim sağlayan kişi veya kişilerin temel sisteme ve diğer uygulamalar üzerinde bir değişiklik yapmadıkları belirlenmiş. Bunlara ports ağacı ile ports ağacından hazırlanan paketlerde de bir problem olmadığı belirlenmiş. 

Kullanmakta olduğunuz sistem 17 Eylül ve 17 Kasım tarihleri arasında üçüncü parti yazılımları kurmadıysanız endişelenmenize gerek yok. Yine bu tarihler arasında ports ağacını güncellediyseniz ve güncellenmiş ağaç üzerinden yazılım kurduysanız yapılan inceleme de bunlarda da herhangi bir değişiklik olmadığı belirlenmiş durumda. Dolayısıyla da bu konuda da endişelenmeye gerek yok. benzer olarak ftp sitesinde bulunan iso dosyaları, kaynak kodlar vb içinde yapılan incelemede de bir değişiklik saptanmamış.

Ports aacını svn.freebsd.org veya portsnap dışındaki bir kaynaktan güncelleyerek kullanan kullanıcılar için ise bu mekanizmalarda güvenlik ve bütünlük kontrolünün sağlnmasındaki zorluklar nedeni ile söz konusu tarihler arasında yapılan ports güncellemesi ve kurulumlarının yeniden güvenilir kaynaklardan güncelleyerek yeniden yapmaları gerekiyor.

Port ağacından mek install ile kurulum yapıyorsanız aşağıdaki kabuk programı benzer bir şekilde kurulu tüm portsları kaldıracaktır. İşlemin ardından ports güncelleyip yeniden kurulum yapmanız gerekecek.

# for port
in `pkg_info -ao | grep '.*/.*' | sed 's;.*;/usr/ports/&;'`
{
cd $port && make deinstall

veya benzer şekilde

#  pkg_deinstall -fa


ile kurulu olan tüm port/paktler kaldırılabilir.

Dolayısıyla da kaynak kod, ports ağacı ve belgelendirme kaynaklarını cvs/csup kulanarak yapan kullanıcıların svn, freebsd-update ve portsnap araçlarına geçiş yapmaları gerekiyor.  csup/cvs desteklenmeyeceği ve sona erdirileceğini bilindiği için bu sona ermesini beklemeden geçiş yapmak yerinde olur.

Ports ağacını cvs/anoncvs/csup dşındaki araçlarden birisi ile güncellemek için FreeBSD kılavuzunda ports bölmününde yer alan yönergeleri uygulamak ve araçları kullanmak gerekiyor. FreeBSD güncellemek için yine FreeBSD kılavuzundaki ilgili bölüme başvurulmalı. CVS yerine SVN kullanmak isteyenler yine ilgili bölümden yararlanabilirler.

Ancak FreeBSD 9.1-RELEASE sürümü için hazırlanan dosyalar ile paketlerin kontrol edilmesi sırasında bunların bütünlüğünün kontrolü olanaklı olmadığı için siteden kaldırılmış. Benzer olarak da FreeBSD 9.1-RELEASE dosyaları da yeniden kaynak koddan derlenerek oluşturulp ftp sunucusunda yerini alacak. Bu nedenle FreeBSD 9.1-RELEASE sürümü ileri bir tarihe kayabilir.

Gelişmeleri FreeBSD sitesinde yer alan www.freebsd.org/news/2012-compromise.html adresinden izleyebilirsiniz.

Not: Yazıyı hazırladığım sırada bir süredir portsnap(8) yeniden çalışmaya başlamıştı. Eğer portsnap ile port ağacını güncelliyorsanız 24080 adet yama port ağacına girmiş olacak. Dolayısıyla da güncellemeniz normaldan biraz uzun sürebilir.