PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : wunderbar_emporium



ThE_FiSh
15.08.09, 12:08
http://lwn.net/Articles/347006/

http://www.heise.de/newsticker/Kritische-Luecke-im-Linux-Kernel-betrifft-alle-Versionen-seit-2001--/meldung/143515

wunderschönes local privilege exploit!
irgendwie hab ich da wohl was falsch gemacht :(
ABER:

ich hab erstmal alle user die aufm server arbeiten kurzzeitig ausgesperrt :D

Poison Nuke
15.08.09, 12:14
weiß einer ob der Exploit irgendwie auch remote ausgenutzt werden könnte? Also das ein laufender Linuxserver über einen der Dienste angegriffen werden könnte und diese Schwachstelle ausgenutzt wird?

Weil soweit ich das sehe muss da nur ein bestimmter Funktionsaufruf getätigt werden und das kann ja auch von einem Dienst ausgeführt werden der regulär irgendwie auf diese "sendpage()" zugreift

ThE_FiSh
15.08.09, 12:31
gute frage - aber man müsste dem dienst ja auch die richtigen daten übergeben können - weil der funktionsaufruf ist ja nicht das exploit ;)

OliverH
15.08.09, 17:34
Soweit ich das beurteilen kann, ist diese Lücke ausschließlich lokal ausnutzbar. Wir haben den Exploit auf einigen unserer Maschinen getestet:

Ubuntu 9.04 i368: Erfolgreich
Debian Lenny amd64: Erfolgreich
Custom 2.6.27.10-grsec: Erfolglos :cool:

Die Systeme waren alle up to date.
Auf Systemen mit grsecurity-Patch funktioniert der Exploit nicht, da das erkennen der Symbols fehlschlägt. Ob es dadurch unmöglich ist, die Lücke auszunutzen vermag ich nicht zu beurteilen, jedoch hält es Scriptkiddies auf jeden Fall davon ab mal eben Root zu werden.

eule
15.08.09, 17:50
Debian Lenny amd64: Erfolgreich

Die Systeme waren alle up to date.


Aktualisier deine Kiste mal.

OliverH
15.08.09, 18:03
Aktualisier deine Kiste mal.

Also für Ubuntu 9.04 ist bei mir kein Update verfügbar.
Und bei Debian gibts das Paket seit Freitag Abend 21:31.

Da alle Systeme, die gefährdet sind mit dem grsecurity Kernel laufen, sehe ich da keine Gefahr. Natürlich werden am Montag auch die übrigen Kisten gepatcht werden.

Was im übrigen auch gegen das Exploit hilft (getestet unter Ubuntu 9.04 i386) ist folgendes:


echo 1 >/proc/sys/vm/mmap_min_addr

derRichard
16.08.09, 11:58
hi!

der exploit geht nur lokal und auch nur unter bestimmten kerneln.
für andere müsste erangepasst werden.
das problem ist vielmehr, dass auf rhel-systemen der exploit trotz mmap_min_addr geht weil dort die selinux-policy einen fehler hat.

brad spengler sollte lieber mal vernünftige releases von grsecurity machen und nicht exploits in die welt setzten wie toll grsecurity ist und wie schlecht alles andere sei...

//richard

Rain_maker
16.08.09, 15:48
Fürs Protokoll:


echo 1 >/proc/sys/vm/mmap_min_addr
Wer das Ganze auch "rebootsicher" haben will (bis zum Patch zumindest), der setzt diese Option über die /etc/sysctl.conf, zum Bleistift so

# echo vm.mmap_min_addr = 1 >> /etc/sysctl.conf(oder eben mit $EDITOR_IHRES_GERINGSTEN_MISSTRAUENS).

Vorteil:

- "überlebt" im Gegensatz zum obigen Weg einen Reboot

Nachteil:

- "überlebt" im Gegensatz zum obigen Weg einen Reboot (muss man also falls gewünscht nach dem Patch wieder rückgängig machen).

OliverH
16.08.09, 18:08
hi!

der exploit geht nur lokal und auch nur unter bestimmten kerneln.
für andere müsste erangepasst werden.
das problem ist vielmehr, dass auf rhel-systemen der exploit trotz mmap_min_addr geht weil dort die selinux-policy einen fehler hat.

brad spengler sollte lieber mal vernünftige releases von grsecurity machen und nicht exploits in die welt setzten wie toll grsecurity ist und wie schlecht alles andere sei...

//richard

Also getestet habe ich den Exploit wie geschrieben gegen:
2.6.18-6-686 (Debian Etch i386)
2.6.28-14-generic (Ubuntu 9.04 i386)
2.6.26-2-amd64 (Debian Lenny amd64)

Der Exploit funktioniert also schon recht zuverlässig. Das sollte man besser nicht unterschätzen! Mit dem selinux unter Red Hat, das ist natürlich ziemlich dumm gelaufen :ugly:

Ich mag selinux eh nicht sonderlich....

ThE_FiSh
17.08.09, 13:20
hab grad die letzten cunchbang updates (ubuntu 9.04) gemacht und der exploit der vorher einwandfrei funktionierte klappt nichtmehr - würde mal sagen die haben da was gepatcht ?! :)