Menü
Alert!
Security

Passwort-Module von SquirrelMail infiltriert

Von
vorlesen Drucken Kommentare lesen 126 Beiträge

Als der Einbruch in den Webserver des Open-Source-Projekts SquirrelMail Ende Juni bekannt wurde, hatten die Betreiber zunächst versichert, man glaube nicht, dass dabei Plug-ins modifiziert worden seien. Doch jetzt heißt es plötzlich, dass die Angreifer folgende Erweiterungen mit zusätzlichem Code versehen haben:

  • sasql-3.2.0
  • multilogin-2.4-1.2.9
  • change_pass-3.0-1.4.0

Die neuen Versionen protokollieren unter anderem Passwörter mit und verschicken diese an einen externen Server.

Konkretere Angaben, woran man eine infizierte Version eines Plug-ins erkennen kann, fehlen ebenso wie eine Erklärung, warum es über einen Monat gedauert hat, diese Spionageaktivitäten zu entdecken. Auch in einer Mail auf der Mailingliste ist lediglich diffus von Konflikten bei der Zeitplanung und Kommunikationsproblemen als Ursache für die Server-Auszeit die Rede.

Der Verlautbarung des SquirrelMail-Projekts zufolge sollte jeder, der eines der betroffenen Module einsetzt, dieses sicherheitshalber neu installieren. Die zum Download bereitgestellten, sauberen Versionen haben die folgenden MD5-Summen:

a492922e5b0d2245d4e9bc255a7c5755 sasql-3.2.0.tar.gz
b143f2dc82f9e98dd43c632855255075 multilogin-2.4-1.2.9.tar.gz
2cff7c5d4f6f5d8455683bb5d96bb9fe change_pass-3.0-1.4.0.tar.gz

Ob die sauberen Pakete auf dem Server vor dem Einbruch die gleichen Werte lieferten, lässt sich der Ankündigung nicht entnehmen. Der stümperhafte Umgang mit diesem GAU legt jedenfalls nahe, den Einsatz von SquirrelMail noch einmal grundsätzlich zu überdenken.

Siehe dazu auch:

(ju)