LINUX.ORG.RU
 

А ларчик открывался просто.


0

0

А тем временем, пока все прогрессивное человечество отмечает первый день зимы и скорое приближение рождественских праздников, бравые парни из Red Hat и Suse kernel и security teams наконец-то разобрались в хитром экслойте, повергшим в ужас мировую общественность кощунственным взломом нескольких серверов проекта Debian. Все оказалось проще, нехороший человек воспользовался уязвимостью integer overflow в в системном вызове brk ядра Linux версий до 2.4.23, приводящей к доступу из пользовательской программы к kernel address space. Что любопытно, еще в сентябре Эндрю Мортон (Andrew Morton) указал на эту ошибку, но исправления были отложены до выхода новой версии ядра.

P.S. Любопытно то, что для Debian пакеты с исправлениями для были доступны и ранее, но apt-get update оказалось непосильной командой для администраторов, отвественных за безопасность проекта. Подробности по ссылке.

>>> Подробности


1 2
[#]  

Re: А ларчик открывался просто.

Поясните кто-нить плз, существует ли что-нибудь типа kernel security team, как происходит процесс разработки ядра? Когда у нас выступал Дэвид Лебланк, лидер microsoft security strategies team, то он сказал очень умную вещь (имхо с намеком на open source) "It doesn't matter how many people look at a piece of code, it reaaly matters how many people exactly know what are they looking at."

* ()
[#]  

Re: А ларчик открывался просто.

пока Debian не взломали об ошибке никто не знал кроме разработчиков ядра, а вы говорите, что только M$ скрывает информацию о дырах

anonymous ()
[#] Ответ на: Re: А ларчик открывался просто. от poliakov 02.12.2003 10:44:48  

Re: Re: А ларчик открывался просто.

> "It doesn't matter how many people look at a piece of code, it reaaly matters how many people exactly know what are they looking at."

уууу... психоделическая фраза, а по сути - глупость сморозил

anonymous ()
[#] Ответ на: Re: Re: А ларчик открывался просто. от anonymous 02.12.2003 10:50:23  

Re: Re: Re: А ларчик открывался просто.

С чего бы это? По-моему, очень правильная вещь. 100 ламеров, которые имеют исходники ядра и 'проверят' их, выдав заключение, что все ок не заменят одного специалиста, который знаком со всеми тонкостями, и которого действительно заботит безопасность, а не погоня за быстрым и некачественным результатом

* ()
[#] Ответ на: Re: А ларчик открывался просто. от anonymous 02.12.2003 10:47:19  

Re: Re: А ларчик открывался просто.

>пока Debian не взломали об ошибке никто не знал кроме разработчиков ядра, а вы говорите, что только M$ скрывает информацию о дырах

Тебе кто-то мешает подписаться на список рассылки Kernel Security Team?

А M$ столь же свободно распространяет информацию об уязвимостях в своих продуктах?

* ()
[#]  

Linux надежнее чем Windows

Получается, что основные проблемы с безопасностью Linux

каксаются серверов? А на десктопе Linux является лучшим

выбором в плане безопасности, чем Windows, потому что все

эксплойты, как правило, локальные. И если у меня на десктопе

не запущен ни один сервис, беспокоится не о чем (разве что

iptables-rules настроить). Уважаемые специалисты Linux,

поправьте, если ошибся.

anonymous ()
[#] Ответ на: Linux надежнее чем Windows от anonymous 02.12.2003 11:10:00  
Sun-ch

Re: Linux надежнее чем Windows

Любой unix host обязан быть безопасным.

Есть такая пословица

"Привыкнешь дома пердеть и в церкви не удержишься"

С таким подходом тебя когда нибудь поймают.

# ()
[#] Ответ на: Re: Re: Re: А ларчик открывался просто. от poliakov 02.12.2003 10:55:04  

Re: Re: Re: Re: А ларчик открывался просто.

> "It doesn't matter how many people look at a piece of code, it reaaly matters how many people exactly know what are they looking at."

Хорошая фраза. Сама по себе. Только пустая (читай трепотня). Типа "красота спасет мир" и типа того. Все знают, что спасет, но когда и от кого - х.з. Очень в стиле микровсоса. Сказать, что у их специалистов самые длинные пиписьки слабо (засмеют ведь), но брякнуть что-то такое неопределенное, чтобы вы сами додумали - это с радостью.

> 100 ламеров, которые имеют исходники ядра и 'проверят' их, выдав заключение, что все ок не заменят одного специалиста, который знаком со всеми тонкостями, и которого действительно заботит безопасность, а не погоня за быстрым и некачественным результатом

То же самое, см. выше.

anonymous ()
[#]  

Re: А ларчик открывался просто.

балбесы, зато теперь можно кричать что линух завалить как два пальца...

anonymous ()
[#]  

Re: А ларчик открывался просто.

патч есть?

anonymous ()
[#]  

Re: А ларчик открывался просто.

Вот кстати сами патчи от RedHat'а:

- Add TASK_SIZE check to do_brk()
--- linux-2.4.20/mm/mmap.c~     2003-12-01 15:12:20.000000000 +0000
+++ linux-2.4.20/mm/mmap.c      2003-12-01 15:12:42.000000000 +0000
@@ -1059,6 +1059,9 @@
        if (!len)
                return addr;

+       if ((addr + len) > TASK_SIZE || (addr + len) < addr)
+               return -EINVAL;
+
        /*
         * mlock MCL_FUTURE?
         */

- Fix up NPTL local DoS bug (#107942)
--- linux-2.4.20/kernel/fork.c~ 2003-12-01 15:14:35.000000000 +0000
+++ linux-2.4.20/kernel/fork.c  2003-12-01 15:14:57.000000000 +0000
@@ -927,6 +927,7 @@
                if (current->signal->group_exit) {
                        spin_unlock(&current->sighand->siglock);
                        write_unlock_irq(&tasklist_lock);
+                       retval = -EAGAIN;
                        goto bad_fork_cleanup_namespace;
                }
                p->tgid = current->tgid;

*** ()
[#] Ответ на: Re: А ларчик открывался просто. от McMCC 02.12.2003 12:14:33  

Re: SIGIO и его обработчик.

Интересно, а какого вообще vm_enough_memory принимает long, а не unsigned long? Маразм какой-то ...

** ()
[#] Ответ на: Re: А ларчик открывался просто. от anonymous 02.12.2003 10:47:19  
aim1159

Re: Re: А ларчик открывался просто.

> пока Debian не взломали об ошибке никто не знал кроме разработчиков ядра, а вы говорите, что только M$ скрывает информацию о дырах

неправильно. пока Debian не вломали никто не обращал внимания на эту ошибку, которая была пофикшена к тому времени насколкьо я понял...

**** ()
[#] Ответ на: Re: Re: Re: А ларчик открывался просто. от anonymous 02.12.2003 12:50:32  

Re: Re: Re: Re: А ларчик открывался просто.

и что делать 2.4.23 ставить ?

там тоже вроде не все гладко ?????????

anonymous ()
[#] Ответ на: Re: Re: Re: Re: А ларчик открывался просто. от anonymous 02.12.2003 13:16:49  

Re: Re: Re: Re: Re: А ларчик открывался просто.

> и что делать 2.4.23 ставить ? > там тоже вроде не все гладко ???

думаю, не стоит брезговать 2.4.23.. Но можно и самому вставить эти три строчки...

anonymous ()
[#] Ответ на: Re: Re: А ларчик открывался просто. от aim1159 02.12.2003 13:16:29  
Sun-ch

Re: Re: Re: А ларчик открывался просто.

Так уж и никто?

Paul Starzetz has indenpendently discovered the bug,

Wojciech Purczynski invented and provided numerous

techniques to automatically and efficiently exploit the bug.


Tested and successfully exploited kernel versions include:

o 2.4.20-18.9 as shipped with RedHat 9.0
o 2.4.22 (vanila)
o 2.4.22 with grsecurity patch

Unfortunately we guess that our exploit may have leaked to the

underground.

Усе слили в андерграунд, ну молодцы, че сказать.

# ()
[#] Ответ на: Re: Re: Re: Re: Re: А ларчик открывался просто. от anonymous 02.12.2003 13:21:03  

Re: Re: Re: Re: Re: Re: А ларчик открывался просто.

А разве в sys_brk() нет этой же проблемы? Там присутствуют такие строки :

if (!vm_enough_memory((newbrk-oldbrk) >> PAGE_SHIFT)) goto out; где unsigned long newbrk, oldbrk;

однако vm_enough_memory принимает long.

* ()
[#]  

Re: А ларчик открывался просто.

exploit где?

anonymous ()
[#]  

Re: А ларчик открывался просто.

"но apt-get update оказалось непосильной командой для администраторов" потому что нахрен это все не надо, надо выкладывать готовое, а не обязывать людей для обновления учить кучу нового софта. Такое дерьмо так и будет, пока не будет выложен соответствующий *.tar.gz , к которому все давным давно привыкли.

anonymous ()
[#]  
OpenStorm

Re: А ларчик открывался просто.

запарили одну и ту же новость по 10 раз писать. (Модераторов на мыло ;)

*** ()
[#]  

Re: А ларчик открывался просто.

Так это локальная уязвимость или remote?
Если локальная то как злоумышленник получил shell?
Если удаленная, то пипец всему :(

*** ()
[#] Ответ на: Re: А ларчик открывался просто. от Dead 02.12.2003 14:38:18  

Re: Re: А ларчик открывался просто.

Локальная. Иначе пипец всему уже настал бы. :)

anonymous ()
[#] Ответ на: Re: А ларчик открывался просто. от Dead 02.12.2003 14:38:18  
Sun-ch

Re: Re: А ларчик открывался просто.

Локальная, но очень опасная.

possibility of kernel code and data structures modification as well as

kernel-level (ring0) code execution.

Тут уж ни grsecurity ни RSBAC не спасут?

# ()
[#] Ответ на: Re: Re: Re: А ларчик открывался просто. от Ikonta_521 02.12.2003 14:53:04  
Sun-ch

Re: Re: Re: Re: А ларчик открывался просто.

Проверь, а то вот люди пишут

Tested and successfully exploited kernel versions include:

2.4.22 with grsecurity patch

Может врут?

# ()
[#] Ответ на: Re: Re: А ларчик открывался просто. от Sun-ch 02.12.2003 14:47:31  
Dselect

не поможет тут RSBAC

possibility of kernel code and data structures modification as well as kernel-level (ring0) code execution.

Т.е. можно менять ACI как угодно... Другое дело, что существующие(й?) exploit'-ы, скорее всего, тупо пытаются что-то запустить с UID 0.

*** ()
[#] Ответ на: Re: Re: Re: Re: А ларчик открывался просто. от Sun-ch 02.12.2003 14:56:31  

Re: Re: Re: Re: Re: А ларчик открывался просто.

дык, потестить то можно... тока эксплоит то где? тока тот который от PoC не предлагать.... ну не хочется сервак перегружать... вдруг не поднимится... а до него пешком минут десять, да еще и по холоду... бррр. неохота.

* ()
[#] Ответ на: Re: от Murr 02.12.2003 14:44:00  

Re: Re:

Тогда становится понятно, как был запущен suckit
однако как был получен юзерский акаунт?
Или на Debian.org их раздают на лево и направо?

*** ()
[#] Ответ на: Re: Re: Re: Re: Re: Re: А ларчик открывался просто. от anonymous 02.12.2003 15:34:22  

Re: Re: Re: Re: Re: А ларчик открывался просто.

в своём... сервак этот простаивает днем. его задача ночью пахать... и грузится он с сидюка =))

* ()
[#] Ответ на: Re: Re: Re: Re: А ларчик открывался просто. от Sun-ch 02.12.2003 14:56:31  

Re: Re: Re: Re: Re: А ларчик открывался просто.

>Проверь, а то вот люди пишут

>Tested and successfully exploited kernel versions include: 2.4.22 with grsecurity patch

>Может врут?

Время будет - проверю.

Ибо grsecurity - не единственный вариант. Ветку 2.2 никто не отменял...

Да и чисто из любопытства.

* ()
[#]  

Забавно...

"Исправление для дистрибутивов ALT Linux Master 2.0, ALT Linux "Утёс-К", ALT Linux Master 2.2 и ALT Linux Junior 2.2 содержится в обновлении от 26 сентября 2003 года"

Видимо, ошибку заметили давно, но не заметили ее серьезности...

* ()
[#]  
Eldhenn

Re: А ларчик открывался просто.

Это всё хорошо, но когда они gluck поднимут? Или они ищут оставшиеся эксплойты? "Перечислите все до сих пор не найденые эксплойты в ядре linux и причины, по которым их ещё не залатали"

# ()
[#] Ответ на: Re: Re: Re: Re: Re: А ларчик открывался просто. от GPF 02.12.2003 16:41:27  
Sun-ch

Re: Re: Re: Re: Re: Re: А ларчик открывался просто.

Исправление для дистрибутивов ALT Linux Master 2.0, ALT Linux "Утёс-К",
ALT Linux Master 2.2 и ALT Linux Junior 2.2 содержится в обновлении
от 26 сентября 2003 года:

Я не понял, они 26 пофиксили или сейчас?

Итти на коньяк спорить или не надо?

# ()
[#]  

Re: А ларчик открывался просто.

Странно, на slashdot'e другая история. Там дырку нашла _Debian_ Security Team, а уж потом выпустили патчи все остальные. Почему-то мне больше верится родному slashdot'у...

З.Ы. Вот линк на новость со www.slashdot.org - http://developers.slashdot.org/article.pl?sid=03/12/01/2133249&mode=threa...

anonymous ()
[#] Ответ на: Re: А ларчик открывался просто. от anonymous 02.12.2003 16:52:36  
Eldhenn

Re: Re: А ларчик открывался просто.

Английским по фону написано - "has been published". Причина захвата серверов была опубликована Debian security team.

# ()
1 2
Debian