Hallo,

als wie gefährlich ist dieses root-Exploit einzustufen:
http://www.heise.de/newsticker/meldung/Luecke-im-Linux-Kernel-ermoeglicht-Root-Rechte-1081195.html

bzw wie kann es überhaupt ausgelöst werden?
weil der Workaround wird von meinem Kernel (2.6.26-25 Debian lenny) nicht unterstützt.

Wenn ich das richtig verstanden habe kann jedes Binary das auf deinem Rechner ausgeführt wird diesen Exploit nutzen um Root Rechte zu erhalten.

Keine Binaries aus seltsamen Quellen => Kein Problem.


Wenn es ein anderer Exploit schafft (z.B. durch irgendwelche Overflows) code auf deinem Rechner auszuführen (z.B. beim Aufruf einer extra für Linux infizierten Website) könnte er mit diesem Trick bei 64 Bit Rechnern Root Rechte erhalten.


=> In der Praxis müsste jemand also eine Website für 64 Bit Linux präparieren und dich dazu bringen sie aufzurufen.

=> Oder dir ein präpariertes Binary zuschicken dass du dann ausführst

=> oder (Aluhut auf) Skype hat auf diese Weise längst deinen Rechner gekapert und der NSA zur Verfügung gestellt. (Aluhut wieder ab)

Wenn es ein anderer Exploit schafft (z.B. durch irgendwelche Overflows) code auf deinem Rechner auszuführen (z.B. beim Aufruf einer extra für Linux infizierten Website) könnte er mit diesem Trick bei 64 Bit Rechnern Root Rechte erhalten.
In der Praxis reicht dafür schon ein verwundbares Skript aus, das sich beliebige URLs unterschieben lässt und den Inhalt ausführt. Google mal nach c99shell und Konsorten.

Solche Exploits gab es doch schon zu Hauf.

Imho ist die wahrscheinlichste Art sich zu infizieren die genannte Möglichkeit beim Surfen auf Seiten zu gelangen die mit Web Attacking Toolkits infiziert sind. Da dürften z.B. NoScript oder das ändern des User Agent auf den MS IE (letzteres geraten bzw. WAT-abhängig) helfen.

Um das Ding sonst bei dir auszuführen müsste man sich anders Zugriff verschafft haben. Sprich dein System müsste noch andere Lücken aufweisen, die sich von außen ausnutzen lassen.

Freundliche Grüße,
int 80h

danke für eure Aufklärung :)
dann mach ich mir mal keine Sorgen. Das ist eine cleane Serverinstall ohne Grafikoberfläche und nur den nötigsten Webdiensten und ssh liegt auf nem anderen Port und lässt nur Keys zu.

da müsste also schon PHP da was ermöglichen, aber url_fopen ist auch deaktiviert.

Gelegentlich wird auch Forensoftware verwendet um solchen Schadcode einzuschleusen ...

da ich der einzige auf der Welt bin, der den Quellcode von dem Forum kennt, sollte das doch hoffentlich die Chance verkleinern :X


hast du zufällig einen Link oder so wo man nachsehen kann, welche potentiellen Schwachstellen ein Forum haben könnte? Vllt hab ich ja doch was übersehen. Thx schonmal :)

Ich habe kein Forum.. daher habe ich das nur bei einem anderen Forum mitbekommen das alte Software drauf hatte und in das ständig eingebrochen wurde.

Seitdem der Betreiber auf eine neue Version umgerüstet hat ist aber Ruhe...

Generell geht es eben um "SQL injection", eben darum dass wenn mit dem Forum ein Datenbankserver verbunden ist versucht wird die Datenbanksoftware dazu zu bringen irgendwelchen Code auszuführen.

Wenn das gelingt => hattu ein Problem. Kenne ich aber auch nur aus der Literatur.. ich wollte wissen wie es sein kann dass seriöse Foren mit Schadsoftware infiziert werden ...

Wenn es eine Datei-Upload-Funktion gibt, dann kann man die manchmal auch in Kombination mit einer Sicherheitslücke ausnutzen, die es erlaubt eine beliebige Datei zu include-n. Der Angreifer läd also eine Datei hoch, die ihrerseits Code für den verwendeten Interpreter (z.B. PHP) enthält und sorgt anschließend dafür, dass sie von include-t und somit ausgeführt wird. Oft muss als Zwischenschritt ein Cache-Mechanismus ausgelöst wird, da direkt während oder nach dem Upload der Dateiname der zu include-nden Datei unbekannt ist, sie dann auch sofort in eine DB geladen und gelöscht wird und nur über einen serverseitigen Datei-Cache überhaupt wieder zu einer include-ierbaren Datei wird.

Eine weitere böse Lücke kann durch die Verwendung von eval()-Funktionen kommen, bei denen der Interpreter deren String-Parameter interpretiert. Werden in diesen Parametern Daten verwendet, die ein Angreifer bestimmen kann, kann er sehr direkt Code ausführen. Bei manchen PHP-Installationen gibt es zudem die Schwachstelle der "register globals" in Verbindung mit uninitialisierten Variablen. Bei "register globals" stehen URL-Parameter direkt als Variablen im Code zur Verfügung und nicht als Array-Elemente. PHP erlaubt es uninitialisierte Variablen zu benutzen. Der Benutzer kann also den Inhalt einer unitialisierten Variable über die URL einer Seite setzen und somit das Script unvorhergesehene Dinge tun lassen.

thx für die Hinweise :)
ich hoffe doch der jpg handler von PHP ist nicht unbedingt anfällig für das includieren von Code? Aber gut, ich denke dann wären wohl ziemlich viele Foren schon über den Bilderupload gehackt worden, was ja eigentlich nicht der Fall ist?

Probier doch mal aus, ob sich ein Skript namens foo.php.jpg nach dem Hochladen bei dir ausfuehren laesst.

ne, meine Uploadfunktion meckert, dass es kein JPG Bild sei und bricht ab, eine solche Datei ist dann auch nicht im Uploadverzeichnis zu finden.

Es wurden schon Foren durch uploads von Bildern etc. geknackt...

Nur: so lange viele Homepage Benutzer Idiotenpasswörter für ihren Zugang verwenden müssen sich die Profis noch nicht allzuviel Mühe mit Euch Forenbetreibern machen... bisher kommen sie viel einfacher an Webspace...

Ist die Forensoftware selbstgeschrieben? Dann solltest du den Code nochmal durchgehen und auf Lücken checken. Nur weil niemand den Code kennt ist er ja nicht sicher. (Security through obscurity)

Die Liste an häufigen Schwachstellen in PHP-Web-Anwendungen ist ja schier endlos: SQL-Injection (allgemein nicht auf SQL beschränkt), XSS, XSRF, Local/Remote File Inclusion, Path Traversal, RCE, ...

Freundliche Grüße,
int 80h