Backdoor im IRC-Client irssi
Nach Angaben der Entwickler wurde auf main.irssi.org eingebrochen; dabei veränderten die Angreifer die tar-Archive der aktuellen irssi-version 0.8.4.
Der IRC-Client irssi 0.8.4 enthält eine Hintertür im Quellcode, die Unbefugten den Zugang zum System ermöglicht. Nach Angaben der Entwickler vom Samstag wurde zwischen dem 14. und 16. März auf main.irssi.org eingebrochen, kurz nachdem die Version 0.8.4 freigegeben wurde. Bei dem Einbruch veränderten die Angreifer die tar-Archive der aktuellen irssi-version 0.8.4.
Die Hintertür befindet sich nicht in den Binaries, die es für Linux-Distributionen, freie BSD-Derivate und Mac OS X gibt, sondern im configure-Skript; wurde irssi mit diesem Skript kompiliert, startet der IRC-Client eine Shell im Hintergrund, die zu einem amerikanischen Server verbindet und auf Befehle wartet. Laut den irssi-Entwicklern finden keine automatischen Aktionen statt, aber es sei nicht auszuschließen, dass über diese Hintertür Zugriffe auf anfällige Systeme stattgefunden haben, beispielsweise um ein Rootkit zu installieren.
Um künftig solche Vorfälle zu vermeiden, will man ab sofort jeglichen zu veröffentlichenden irssi-Quellcode mit GnuPG signieren und automatische Überprüfungen einführen. Details zur Hintertür haben die Entwickler auf der irssi-Homepage veröffentlicht. (pab)
