ZT: LINUX也出现非“正版”软件 - GNU工程:Linux软件下载服务器受到攻击
GNU工程:Linux软件下载服务器受到攻击发表者: dsj 在 2003 年 08 月 16 日 - 01:09 PM
计算机世界网消息 本周,Linux操作系统组件的开发组织GNU工程表示,一些采用Linux系统的主要下载服务器受到了攻击。GNU工程已发出警告说,虽然这些软件的所有代码到目前为止还检查不出什么被破坏
迹象,但攻击者还是有可能在其中加入了某些恶意代码。GNU工程已经督促那些从3月份以来下载软件的用户检查所下载软件的源代码是否已被篡改过。
在本周三发布的一份安全警报中,计算机安全响应组织CERT协调中心也发出警告,这种攻击威胁可能会是一个严重的问题,因为这些受攻击的服务器都是作为一般通用软件的集中存档使用,所以在这些供下载的软件中插入一些恶意代码对用户来说是一个很严重的威胁。
GNU工程的管理组织免费软件基金会(FSF)已经发布了一个数字验证列表,即由已知还没有被攻击的软件源代码生成的一系列数字,这一列表可以用于检查所下载软件源代码是否遭到篡改。
据GNU工程介绍,攻击者已经危及到了被攻击服务器的根目录,并获得了对整个系统的完全控制权。被这一攻击所利用的安全隐患于3月17日首次发现,而在一周之后才有相关补丁程序修复这一缺陷。在此期间,攻击者已经进入服务器系统并安装了一段"特洛伊木马"恶意代码,而这段"特洛伊木马"代码直到7月末的最后一周时才被发现。GNU工程在其Web站点发布的一份声明中表示,攻击者的种种做法表明他(或她)主要是对GNU的FTP感兴趣,通过收集用户密码来发动对其他机器的攻击。
GNU工程还表示,自从"特洛伊木马"代码被发现以来,该组织一直在验证下载服务器中的软件的完整性,其中大部分验证工作已经完成,余下的工作主要是验证2003年初上传的文件,因为这些文件的备份文档从理论上来说也有可能被攻击。
不过GNU工程相信没有源代码收到攻击,事实表明到目前为之还没有检查出有文件受到攻击,而且也没有搜索到任何标准的"特洛伊木马"代码。 这样下去LINUX迟早完蛋。那些改源码的人真是吃饱了撑的。
页:
[1]