Эксперты организации CERT сообщили об обнаружении троянского коня в исходном коде пакета Sendmail версии 8.12.6. По имеющимся данным, исходный код, хранившийся на ftp-сервере разработчиков Sendmail, был модифицирован неизвестным злоумышленником. "Троянские" версии Sendmail находятся в файлах с именами sendmail.8.12.6.tar.Z и sendmail.8.12.6.tar.gz.
Модифицированные версии Sendmail появились на ftp.sendmail.org 28 сентября, а обнаружить и удалить их удалось лишь 6 октября. Исходный код Sendmail, загруженный в этот период по протоколу HTTP, по информации CERT, не содержал трояна, хотя и в этом случае эксперты рекомендуют соблюдать осторожность.
Троянский конь активизируется при сборке пакета и запускает процесс, который пытается соединиться с определенным узлом в интернете, используя локальный порт 6667/tcp. Запущенный процесс также позволяет злоумышленнику получить доступ к пораженному компьютеру с правами того пользователя, который занимался компиляцией и компоновкой Sendmail. После перезагрузки компьютера акивизации трояна не происходит, она возможна лишь в случае повторной сборки пакета.
Всем тем, кто загрузил исходный код Sendmail в период с 28 сентября по 6 октября, CERT рекомендует произвести повторную загрузку исходников с официального сайта Sendmail. Код, загруженный из других источников или с FTP-сайта Sendmail в опасный период, рекомендуется подвергнуть проверке на целостность.
В частности, код, в котором есть троян, не содержит цифровой подписи PGP, которая имеется у немодифицированных исходников. Еще одним способом является проверка контрольных сумм MD5. Кроме этого, CERT рекомендует запретить соединение с интернетом через порт 6667 и производить компиляцию и компоновку Sendmail из-под учетной записи с ограниченным набором прав.
С более полными рекомендациями можно ознакомиться в бюллетене CERT.
