Från november 2009 till juni 2010. Så länge levde en trojansk häst i Linuxversionen av den populära IRC-servern Unrealrcd – som är öppen källkod. ”Detta är väldigt pinsamt”, skriver utvecklarna i en kommentar.
Unrealrcd är en IRC-server med stöd för SSL och webb-TV. Projektet är öppen källkod och finns för flera olika plattformar. Den drabbade versionen är 3.2.8.1 för Linux, vars riktiga paket blev utbytt på projektets spegelservrar för nedladdning mot ett infekterat paket. Den trojanska hästen, som i själva verket agerar en bakdörr, gör det möjligt för en person att köra valfritt kommando med samma rättigheter som användaren som kör IRC-tjänsten.
Bakdörren kan köras oavsett om användaren har ställt in restriktioner för IRC-tjänsten, till exempel lösenordsskyddad server eller att den inte tillåter några användare att ansluta. Detta på grund av att kärnan i Unrealircds infekterade applikation letar efter strängen ”AB” i något paket, och tolkade det som kom efteråt. När en användare skickar tecknen ”AB” följt av ett Linuxkommando tolkas alltså den efterföljande strängen via funktionen C system().
Utvecklarna skriver i en kommentar att ”detta är väldigt pinsamt” och att det är ”ett väldigt allvarligt problem”. Av utvecklarnas kommentar framgår också att det verkar som att nedladdningsfilen ersatts med versionen som innehåller bakdörren i november 2009, men att ”det verkar som att ingen har noterat det förrän nu”.
För att minimera risken att det händer igen ökar de säkerheten, till exempel i form av återinförandet av PGP/GPG-signering av släppta versioner. Delar av webbplatsen kommer att isoleras och inte tillåta ändringar för att förhindra en katastrof utifall att någon bryter sig in. Nedladdningsfilerna går enbart att ladda ned från ett av de låsta utrymmena. Dessutom görs ett flertal andra åtgärder för att skydda sig, men av förstående skäl vill inte Unrealircds administratör ge några detaljer om vad de innebär.
Problemet med bakdörren hör inte specifikt till Linux eller något annat operativsystem, utan det verkliga problemet finns i distributionen av osignerade binära paket som ett sätt att sprida applikationer.