Als Warnung für alle die den Kernel gerade erst geupdated haben...
Nachdem der letzte Exploit ja wenigstens die Kernel Version 2.6.17.4 nicht betroffen hat, ist seit gestern toller neuer Code im Netz aufgetaucht und der Nutzer erhält Root Rechte auch unter 2.6.17.4 :mad:

Einzige Möglichkeit besteht scheinbar nur im Einspielen von SELinux.

Hat jemand schon einen anderen Workaround für eine zumindest kurzfristige Abhilfe gefunden?

[edit]
okay scheinbar kann man sich gegen den Exploit schützen, indem man
/proc mit der Option nosuid ins System einbindet.

wenn der benutzer keine eigenen programme ausführen darf, kann er das programm nicht benutzen. also externe laufwerke + home + /tmp verzeichnis noexec mounten könnte auch funktionieren, oder?

ich dachte, das Problem ist in 2.6.17.5 behoben?

Ja das würde natürlich auch gehen - aber hatte das bisher zumindest was externe Laufwerke anging nicht so restriktiv gehandhabt, da einige Benutzer von einem USB Stick eben was starten mussten...

Hmm ja hatte übersehen, dass 2.6.17.5 schon raus ist, nachdem ich gestern erst auf 2.6.17.4 geupgradet :rolleyes:

Nervt derzeit etwas diesen Sicherheitslücken hinterherzulaufen.

Man soll einfach keinen "standard Kernel" benutzen!

Mein angepasster Kernel für Gentoo kann nur lächerln bei dem Exploit!

Kernel 2.6.17!


user@gentoo ~/Desktop $ ./h00lyshit MPlayer-1.0pre8.tar

preparing
trying to exploit MPlayer-1.0pre8.tar

failed: Exec format error
user@gentoo ~/Desktop $

Laß mich raten: Du hast keine a.out-Unterstützung?

Laß mich raten: Du hast keine a.out-Unterstützung? Laut heise.de (http://www.heise.de/security/news/meldung/75515) soll der Exploit auch ohne a.out-Unterstützung funktionieren:

Die Demo selbst benötigt zwar Unterstützung für das veraltete Binärformat a.out, die Lücke ließe sich jedoch selbst dann ausnutzen, wenn CONFIG_BINFMT_AOUT nicht gesetzt sei.

Laß mich raten: Du hast keine a.out-Unterstützung?

Bingo :)

Meiner Meinung nach solle alles aus dem Kernel fliegen das man nicht braucht :)

Mach ich bei jeder Kiste, als erstes den Kernel an die HW und meinen Bedürfnissen anpassen ;)

Dann funzt auch nicht jeder Exploit ^^

Nee, wenn ich das richtig interpretiere kann man die Lücke auch ohne a.out-Unterstützung nutzen; der Exploit an sich jedoch nutzt das a.out-Format, d.h. dieser spezielle Exploit funktioniert nicht ohne a.out-Unterstützung.

Dafür spricht zumindest die von root_tux_linux gepostete Meldung.

Ich wette dass der Exploit auch auf einem Gentoo-Kernel mit a.out-Unterstützung ohne Probleme funktioniert :rolleyes:

-hanky-

Nee, wenn ich das richtig interpretiere kann man die Lücke auch ohne a.out-Unterstützung nutzen; der Exploit an sich jedoch nutzt das a.out-Format, d.h. dieser spezielle Exploit funktioniert nicht ohne a.out-Unterstützung.

Dafür spricht zumindest die von root_tux_linux gepostete Meldung.

Ich wette dass der Exploit auch auf einem Gentoo-Kernel mit a.out-Unterstützung ohne Probleme funktioniert :rolleyes:

-hanky-

Klar wird er laufen :)

Aber eben, wie weniger drin ist desto weniger kann man ausnutzen ^^

Klar wird er laufen :)

Aber eben, wie weniger drin ist desto weniger kann man ausnutzen ^^

Dein Beitrag hatte sich nur so gelesen als ob das jetzt eine spezielle Eigenheit des Gentoo-Kernels sei ( der ja durchaus einige Patches integriert hat AFAIK ) ;)

Ansonsten hast du natürlich recht, ich habe meinen Kernel ebenfalls selbst ( und ohne a.out-Unterstützung ) angepasst.

-hanky-

Zur Info: bei OpenSuse ist der Kernel Update bereits im Repository. Ging dieses mal echt schnell ....

Zur Info: bei OpenSuse ist der Kernel Update bereits im Repository. Ging dieses mal echt schnell ....

wtf? :ugly:

Falscher Thread?

-hanky-

Falscher Thread ? Hoffentlich nicht, wenn doch: ich bin lernfähig.

Per Yast-Online Update habe ich mir gerade einen Kernel Patch heruntergezogen der bei OpenSuse 10.2 genau dieses Problem behebt. Ich dachte das könnte andere OpenSuse Nutzer interessieren, da sie dadurch die Workarounds die oben genannt werden sicher nicht benötigen. Sollte so etwas in einen separaten Thread weil es nur die "Suses" interessiert ?

Zur Info: bei OpenSuse ist der Kernel Update bereits im Repository. Ging dieses mal echt schnell ....

Wenn Suse fuer den Patch 1,5 Jahre gebraucht hat und das fuer Dich schnell ist, moechte ich nicht wissen, wie lange die sonst so brauchen :)

'cuda

.. ah ! Das meinte Hanky mit dem falschen Thread .... nee ich meine natürlich den neuesten Exploit .. habe per Sufu den falschen Thread ausgebuddelt... Entschuldigt bitte !