Archiv verlassen und diese Seite im Standarddesign anzeigen : wunderbar_emporium
http://lwn.net/Articles/347006/
http://www.heise.de/newsticker/Kritische-Luecke-im-Linux-Kernel-betrifft-alle-Versionen-seit-2001--/meldung/143515
wunderschönes local privilege exploit!
irgendwie hab ich da wohl was falsch gemacht :(
ABER:
ich hab erstmal alle user die aufm server arbeiten kurzzeitig ausgesperrt :D
Poison Nuke
15.08.09, 12:14
weiß einer ob der Exploit irgendwie auch remote ausgenutzt werden könnte? Also das ein laufender Linuxserver über einen der Dienste angegriffen werden könnte und diese Schwachstelle ausgenutzt wird?
Weil soweit ich das sehe muss da nur ein bestimmter Funktionsaufruf getätigt werden und das kann ja auch von einem Dienst ausgeführt werden der regulär irgendwie auf diese "sendpage()" zugreift
gute frage - aber man müsste dem dienst ja auch die richtigen daten übergeben können - weil der funktionsaufruf ist ja nicht das exploit ;)
Soweit ich das beurteilen kann, ist diese Lücke ausschließlich lokal ausnutzbar. Wir haben den Exploit auf einigen unserer Maschinen getestet:
Ubuntu 9.04 i368: Erfolgreich
Debian Lenny amd64: Erfolgreich
Custom 2.6.27.10-grsec: Erfolglos :cool:
Die Systeme waren alle up to date.
Auf Systemen mit grsecurity-Patch funktioniert der Exploit nicht, da das erkennen der Symbols fehlschlägt. Ob es dadurch unmöglich ist, die Lücke auszunutzen vermag ich nicht zu beurteilen, jedoch hält es Scriptkiddies auf jeden Fall davon ab mal eben Root zu werden.
Debian Lenny amd64: Erfolgreich
Die Systeme waren alle up to date.
Aktualisier deine Kiste mal.
Aktualisier deine Kiste mal.
Also für Ubuntu 9.04 ist bei mir kein Update verfügbar.
Und bei Debian gibts das Paket seit Freitag Abend 21:31.
Da alle Systeme, die gefährdet sind mit dem grsecurity Kernel laufen, sehe ich da keine Gefahr. Natürlich werden am Montag auch die übrigen Kisten gepatcht werden.
Was im übrigen auch gegen das Exploit hilft (getestet unter Ubuntu 9.04 i386) ist folgendes:
echo 1 >/proc/sys/vm/mmap_min_addr
derRichard
16.08.09, 11:58
hi!
der exploit geht nur lokal und auch nur unter bestimmten kerneln.
für andere müsste erangepasst werden.
das problem ist vielmehr, dass auf rhel-systemen der exploit trotz mmap_min_addr geht weil dort die selinux-policy einen fehler hat.
brad spengler sollte lieber mal vernünftige releases von grsecurity machen und nicht exploits in die welt setzten wie toll grsecurity ist und wie schlecht alles andere sei...
//richard
Rain_maker
16.08.09, 15:48
Fürs Protokoll:
echo 1 >/proc/sys/vm/mmap_min_addr
Wer das Ganze auch "rebootsicher" haben will (bis zum Patch zumindest), der setzt diese Option über die /etc/sysctl.conf, zum Bleistift so
# echo vm.mmap_min_addr = 1 >> /etc/sysctl.conf(oder eben mit $EDITOR_IHRES_GERINGSTEN_MISSTRAUENS).
Vorteil:
- "überlebt" im Gegensatz zum obigen Weg einen Reboot
Nachteil:
- "überlebt" im Gegensatz zum obigen Weg einen Reboot (muss man also falls gewünscht nach dem Patch wieder rückgängig machen).
hi!
der exploit geht nur lokal und auch nur unter bestimmten kerneln.
für andere müsste erangepasst werden.
das problem ist vielmehr, dass auf rhel-systemen der exploit trotz mmap_min_addr geht weil dort die selinux-policy einen fehler hat.
brad spengler sollte lieber mal vernünftige releases von grsecurity machen und nicht exploits in die welt setzten wie toll grsecurity ist und wie schlecht alles andere sei...
//richard
Also getestet habe ich den Exploit wie geschrieben gegen:
2.6.18-6-686 (Debian Etch i386)
2.6.28-14-generic (Ubuntu 9.04 i386)
2.6.26-2-amd64 (Debian Lenny amd64)
Der Exploit funktioniert also schon recht zuverlässig. Das sollte man besser nicht unterschätzen! Mit dem selinux unter Red Hat, das ist natürlich ziemlich dumm gelaufen :ugly:
Ich mag selinux eh nicht sonderlich....
hab grad die letzten cunchbang updates (ubuntu 9.04) gemacht und der exploit der vorher einwandfrei funktionierte klappt nichtmehr - würde mal sagen die haben da was gepatcht ?! :)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.