[Momonga-devel.ja:00267] Re: openssh troyjan
- From: HOSONO Hidetomo <h@xxxxxxxx>
- Date: Thu, 01 Aug 2002 19:08:46 +0900 (JST)
ほそのひでともです。
To: devel.ja@xxxxxxxxxxxxxxxxx
From: HOSONO Hidetomo <h@xxxxxxxx>
Subject: [Momonga-devel.ja:00266] openssh troyjan
Date: Thu, 01 Aug 2002 18:06:23 +0900 (JST)
> <URL:http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security>
> によると、
> ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz
> に、トロイの木馬が混入していたようです。
> ....
> 正常版: 459c1d0262e939d6432f193c7a4ba8a8
> トロイの木馬混入版: 3ac9bc346d736b4a51d676faa2a08a57
md5sumチェックをspecファイルレベルで仕込んでみました。
openssh-3.4p1-3mがそれです。
ローカルのキャッシュされたtarballが正しいmd5sumを持っていないと
...
+ grep -s -v 459c1d0262e939d6432f193c7a4ba8a8
3ac9bc346d736b4a51d676faa2a08a57 /home/h12o.org/h/src/redhat/SOURCES/openssh-3.4p1.tar.gz
+ cat
****************************************************************
FATAL ERROR! it seems to be troyjaned.
****************************************************************
/home/h12o.org/h/src/redhat/SOURCES/openssh-3.4p1.tar.gz seems to be troyjaned.
So I stopped building openssh-3.4 urgently.
Read:
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=394609+0+current/freebsd-security
+ exit 255
error: Bad exit status from /var/tmp/rpm-tmp.48570 (%prep)
RPM build errors:
File /home/h12o.org/h/src/redhat/SOURCES/openssh-3.4p1.tar.gz is smaller than 4 bytes
Bad exit status from /var/tmp/rpm-tmp.48570 (%prep)
h@ingram:~$
な感じでビルドを停止します
トロイが入れられていないという自信のある方はともかく、
自信のない方はすみやかにリビルド*してみましょう*。:-)
--
ほそのひでとも