La notizia è ufficiale, almeno quanto il server bucato. Si tratta del server gluck.debian.org utilizzato dagli sviluppatori della distribuzione
Versione UFFICIALE in breve:
Short version: A developer's debian.org account was compromised some time ago. This account was then used to exploit the recent prctl vulnerability (CVE-2006-2451)[4] on gluck and gain root privileges.
Utilizzando una recente vulnerabilità (nuova ma non 0day)
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-2451
l’aggressore ha ottenuto i privilegi di root.
Nel dettaglio (info si possono trovare sulle mailing list debian) l’aggressore ha in qualche modo ottenuto l’account di uno sviluppatore e mandato a buon fine la scalata di privilegi ( kernel su gluck 2.6.16.18 )
Il kernel Sarge è 2.6.8 (se usate la serie 2.6 ovviamente) e non presenta questo tipo di difetto.
Il danno è rimasto circoscritto, l’unico binario compromesso l’utility “ping”, il binario è stato affidato ad un esperto di analisi forensica, numerose precauzioni verso account aventi pwd “facili” sono stati sospesi.
Non si segnalano perdite di informazioni, ma l’attenzione della comunità si è spostata su questa news:
> An investigation of developer passwords revealed a number of weak > passwords whose accounts have been locked in response.
Qualche problema di sicurezza, policy poco restrittive.
Per concludere, la macchina è stata rimessa in piedi da zero, potete vedere lo stato delle macchine qui