Populiari atvirojo kodo IRC serverio versija buvo palikta atakai daugiau nei šešis mėnesius.
Apie UnrealIRCd trūkumą buvo pranešta a saugumo patarimai kuriame projekto administratoriai teigė, kad nepastebėtas Trojos arklys galėjo suteikti bet kam neribotą prieigą prie programinės įrangos.
„Tai labai gėdinga“, – sako UnrealIRCd komanda. „Sužinojome, kad Unreal3.2.8.1.tar.gz failas ant mūsų veidrodžių buvo gana seniai pakeistas versija, kurioje yra užpakalinės durys (trojos arklys).
„Šios užpakalinės durys leidžia asmeniui vykdyti BET KOKIĄ komandą su vartotojo, veikiančio ircd, teisėmis. Užpakalinės durys gali būti vykdomos neatsižvelgiant į bet kokius vartotojo apribojimus (taigi, net jei turite slaptažodį su serveriu ar šakotuvu, į kurį neįleidžiami jokie vartotojai).
Patariame siūlomi du būdai, kaip patikrinti, ar jūsų versija neužkrėsta, taip pat instrukcijos, kaip ištaisyti trūkumą.
Tai yra gėdinga projekto saugumo klaida, ypač atsižvelgiant į tai, kiek laiko reikia pažeidimui nustatyti.
„Atrodo, kad .tar.gz buvo pakeistas 2009 m. lapkritį (bent jau ant kai kurių veidrodžių)“, – pripažinta projekte. „Mes tiesiog nepastebėjome, bet turėjome. Mes reguliariai netikrinome visų veidrodžių failų, bet turėjome.
