В ядрах Linux >=2.6.39 найдена локальная root-уязвимость

РЕШЕТО

кто-то должен был это сказать

У меня работает, кстати

жесть то какая. ждем волну уволенных сисадминов ? =)

MikeDM (23.01.2012 17:17:04)

РЕШЕТО Вот потому линуксу и не нужна популярность на десктопе. Тогда такие "подарки" будут сыпаться пачками.

geekless (23.01.2012 17:20:14)

Сисадминов, ставящих свежие ядра на продакшен увольнять просто необходимо.

shahid (23.01.2012 17:21:47)

+1

geekless (23.01.2012 17:22:14)

RHEL 6 - не работает!

 
[jive@zabbix ~]$ ./a.out 
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Opening socketpair.
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/12592/mem in child.
[+] Sending fd 5 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x1e70.
[+] Calculating su padding.
[+] Seeking to offset 0x1e62.
[+] Executing su with shellcode.
[jive@zabbix ~]$ whoami 
jive

ukr_unix_user (23.01.2012 17:24:41)

Благодаря "эксплоиту" уязвимостей стало на одну больше. Самый простой способ дать запустить трояна - назвать его эксплоитом. :)

Если что - это шутка. С содержанием шутки не менее 40%.

У меня в Gentoo этот эксплоит не работает:
./a.out
===============================
= Mempodipper =
= by zx2c4 =
= Jan 21, 2012 =
===============================

[+] Opening socketpair.
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/14842/mem in child.
[+] Sending fd 5 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[-] Could not resolve /bin/su. Specify the exit@plt function address manually.
[-] Usage: ./a.out -o ADDRESS
[-] Example: ./a.out -o 0x402178

$ ls -al /bin/su
-rws--x--x 1 root root 39208 Фев 18 2011 /bin/su

Ядро 3.2.1-pf. ЧЯДНТ?

iron (23.01.2012 17:28:28)

facepalm.sh

shahid (23.01.2012 17:56:45)

ох уже эти Ъ,

Уязвимость также проявляется для ядра, используемого в RHEL 6 (начиная с 2.6.32-220.el6). На данный момент уже опубликовано три рабочих эксплоита. Уязвимости присвоен номер CVE-2012-0056.

в зеркало загляните.

ukr_unix_user (23.01.2012 19:19:14)

Мда... Любопытно было бы узнать, использовалась ли где-то эта уязвимость по назначению до публикации.

Axon (23.01.2012 21:18:52)

Эксплоит честно сказал:

sf (23.01.2012 21:19:03)

У меня 2.6.32 не от РХЕЛа. Поэтому мне пофигу.

Polugnom (23.01.2012 21:22:25)

в слаке такого ведра пока что нет =) 2.6.37 в последнем релизе.

Komintern (23.01.2012 21:24:53)

РЕШЕТО!

Сначала X-ы, теперь ведро. Этот ваш Лялих — сплошное решето.

а то. не удивлюсь если окажется, что kernel.org был взломан с помощью неё

Reset (23.01.2012 21:25:25)

В смысле, уязвимости будут быстрее находить? Так это очень хорошо. Быстрее найдут - быстрее закроют.

Суровые линуксовые эксплойты такие суровые.

denton (23.01.2012 21:30:37)

Что за ахинею ты несешь? А для чего вообще пишут эксплоиты? Мама, посмотри, я сегодня поломал Лялих? Нет, они приносят деньги.

Linux bastile 2.6.38.7-smp #2 SMP Sat May 21 23:13:29 CDT 2011 i686 AMD Athlon(tm) II X3 445 Processor AuthenticAMD GNU/Linux

У меня файла /proc/pid/mem вообще в системе нет.

splinter (23.01.2012 21:32:50)

Я думаю, уязвимостей станет больше.

geekless (23.01.2012 21:32:53)

А кто закроет на компах миллионов пользователей? В общем, еще раз убеждаюсь в том, что в линухах разделение на рут/не-рут не более чем джентльменское соглашение.

Reset (23.01.2012 21:33:49)

С опеннета же: "На момент публикации этой новости уязвимость была исправлена в дистрибутивах ALT Linux."

AS (23.01.2012 21:33:59)

Этого не может быть. Глянь /proc/self/mem

Reset (23.01.2012 21:34:36)

> в слаке такого ведра пока что нет =) 2.6.37 в последнем релизе.

… и 2.6.38.7 в каренте. П-г всё знал =)

arsi (23.01.2012 21:34:58)

в убунту вроде уже залатали

> Сисадминов, ставящих свежие ядра на продакшен увольнять просто необходимо.

а ставящие апдейты на старые версии?

I-Love-Microsoft (23.01.2012 21:41:29)

У меня эксплоит не запустился, попросил указать вручную какую-то функцию. gentoo-sources-3.1.6

Zimet (23.01.2012 21:45:58)

Разумеется, большинство эксплоитов создано в демонстрационных целях. Реальные эксплоиты, с которых идет навар, где-то постить вряд ли станут.

denton (23.01.2012 21:46:15)

И где ты в RHEL6 2.6.39+ увидел? Иди проспись

router (23.01.2012 21:48:01)

> Сисадминов, ставящих свежие ядра на продакшен увольнять просто необходимо.

me так и представил сисадмина который берёт тёплый ламповый centos и подсовывает свеженькое ванильное ядро.

Кстати, какой выдержки должно быть ядро чтобы стать "старым"? А то 2.6.39 уже почти год как существует.

true_admin (23.01.2012 21:49:17)

Конечно не станут сразу палить, но ты уверен, что уязвимость не была известна в закрытых кругах несколько месяцев назад? Я вот не уверен с вероятностью 99%.

Не работает

[pentium02@einstein:~]$ uname -a
Linux einstein 3.2.0-2-ARCH #1 SMP PREEMPT Sat Jan 7 14:27:58 CET 2012 x86_64 Intel(R) Core(TM)2 Quad CPU Q9400 @ 2.66GHz GenuineIntel GNU/Linux
[pentium02@einstein:~]$ ./a.out
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Opening socketpair.
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/6574/mem in child.
[+] Sending fd 5 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x401dd0.
[+] Calculating su padding.
[+] Seeking to offset 0x401dae.
[+] Executing su with shellcode.
[pentium02@einstein:~]$ whoami
pentium02

ЗЫ. Вот за что я люблю Debian и RHEL - так это за то что свежие баги до них не долетают

router (23.01.2012 21:52:02)

ArchLinux https://projects.archlinux.org/svntogit/packages.git/log/trunk?h=packages/linux&showmsg=1

Age	Commit message (Collapse)	Author
5 hours	upgpkg: linux 3.2.1-2	pierre
	fix CVE-2012-0056

А сколько не нашли или не сказали...

qsloqs (23.01.2012 21:53:49)

splinter@bastile:~/source/Buildroot/buildroot$ sudo cat /proc/self/mem
cat: /proc/self/mem: Ошибка ввода/вывода

splinter (23.01.2012 21:54:01)

Ура! Артём вернулся! И как всегда с хорошими новостями!

imul (23.01.2012 21:54:49)

Слова не мальчика, но мужа.

Axon (23.01.2012 21:55:43)

Не осилили даже эксплоит!!!

Тупые красноглазики даже воспользоваться эксплоитом не могут! Что вы вообще делаете? Он не логинит под рутом, а выполняет шел-код от рута. Читайте исходники эксплоита до просветления.

Утилита автообновления дистрибутива.

Да я уже заметил.

значит файл есть

Reset (23.01.2012 22:02:19)

Только он всё равно не работает.

ага, которая либо отключена либо не работает

Reset (23.01.2012 22:05:01)

Re: РЕШЕТО!

Видишь, известно и можно сказать уже пофиксили.
Иди балмера сказки слушай про нт.

amorpher (23.01.2012 22:06:37)

Каким образом? Говнокодеры придут в популярные дистрибутивы? Я думаю, справятся.

Вы апдейты отключаете, да? А с какой целью, если не секрет? Вообще, это проблемы тех, кто отключает апдейты. Им ничего не поможет, вообщем-то, пусть на винде сидят, если там безопаснее по их мнению.