В ядрах Linux >=2.6.39 найдена локальная root-уязвимость

liberte

Насколько я понял, ASLR помогает против эксплойта. Т.е. Hardened Gentoo, например, взломать с его помощью не получится.

exploit@backbone ~ $ cc mempodipper.c && uname -a && ./a.out ; whoami
Linux backbone 3.1.5-hardened #1 Mon Jan 9 18:02:05 MSK 2012 x86_64 AMD Athlon(tm) 64 Processor 3500+ AuthenticAMD GNU/Linux
===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Opening socketpair.
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/7118/mem in child.
[+] Sending fd 5 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[-] Could not resolve /bin/su. Specify the exit@plt function address manually.
[-] Usage: ./a.out -o ADDRESS
[-] Example: ./a.out -o 0x402178
exploit

Во всяком случае, скомилировалось, так что уже СТРАШНО ЖИТЬ! :)

Решето!

Как важно правильно выбрать дистрибутив. OpenSUSE 11.4, весь свежий софт есть, апдейты приходят, ядро

xxx@neuromancer:~> uname -r 2.6.37.6-0.9-pae

До нас нас бага недожила, это очень радует. Кто ставит себе в качестве основной последнюю версию дистрибутива, и это не Debian и не RedHat/клоны, тот ССЗБ. Стон в каментах по поводу решета вызывает недоумение.

Попробуй запустить ./a.out -o 0x402178, или ./a.out -o `objdump -d /bin/su | grep 'exit@plt' | head -n 1 | cut -d ' ' -f 1 | sed 's/^[0]*\([^0]*\)/0x\1/'` У меня без опций тоже неработает, а если указать смещение так работает.

Но с генту это не пройдет - на каждой машине смещение в /bin/su уникально.

так его вычислить не проблема, надо лишь чуток эксплоит допилить (добавить вызов objdump).

и это не Debian и не RedHat/клоны, тот ССЗБ

ты тоже ещё не слышал что rhel6 уязвим?

Т.е. все твои сервера предназначены для использования ограниченым кругом лиц?

Я лишь хотел показать что вариант существует. Понятное дело что не все сервера закрытые, однако очень много серверов держат связь по подобной схеме (к примеру, в случаях связей через публичные сети - и это делается на практике).

PS: У меня эксплойт запустился без проблем и отработал, но никакого эффекта. Я и так и сяк..

Оказывается только убунта и есть линукс, а у всех остальных что за ядро?

У остальных - другие версии ядра.

Ты вот прямо сходил и сравнил 3.0 и 3.2 между собой чтобы такое утверждать?

Патч небольшой, это не так сложно проверить.

2) главное скорость выпуска апдейтов. А кол-во умственных способностей которое нужно для выпуска патча меня не волнует.

Я к тому, что работу сделали не мейнтейнеры ubuntu. Они просто наложили готовый патч.

действительно, выпущенные security advisories это плод больного воображения мейнтейнеров.

А какие еще? Только rhel6 - и то тут умники сами сбекпортили себе грабли.

На данный момент ни один из дистрибутивов данную ошибку не закрыл.

Снова порадовался за Debian, в стабильной ветке которого ядро 2.6.32.

что работу сделали не мейнтейнеры ubuntu. Они просто наложили готовый патч.

я тебе секрет открою, 99% случаев мэйнтейнеры просто берут готовые патчи. Их задача не в том чтобы патчи писать, а в том чтобы ядро было своевременно пропатчено, а как они эти патчи добывают это их личное дело.

А какие еще?

вот выйдёт advisory увидишь в reference список дистров.

Слава редхату за бэкпорты!

в 6ке kernel.randomize_va_space = 2 по-умолчанию, так что злорадство не в тему

Решето, епт. Сначала фейл с qemu, теперь это. Интересно, когда они начнут извлекать уроки? Или не начнут...

Попробуй запустить ./a.out -o 0x402178, или ./a.out -o `objdump -d /bin/su | grep 'exit@plt' | head -n 1 | cut -d ' ' -f 1 | sed 's/^[0]*\([^0]*\)/0x\1/'` У меня без опций тоже неработает, а если указать смещение так работает.

Да он с любым смещением пишет, что работает, но результата не видно.
Кстати, на то, чтобы objdump для su запустить нужен root, бог с ним, выполнил от root.

BITS 64 ; This shell code sets uid and gid to 0 and execs a shell in interactive mode. ; It also reopens stderr that was previously saved inside fd 6, for use with mempodipper. ; ; by zx2c4

Шелл ин интерактив моде не наблюдается. Чего-то не понял или делаю не так?

какие уроки? примерно раз в год осенью-зимой появляется критичная уязвимость в ядре
интересное совпадение кстати

так его вычислить не проблема, надо лишь чуток эксплоит допилить (добавить вызов objdump).

ой ли...

$ ls -l /bin/su
-rws--x--x 1 root root 39336 июня 9 2011 /bin/su

$ objdump -d /bin/su | grep 'exit@plt' | head -n 1 | cut -d ' ' -f 1 | sed 's/^[0]*\([^0]*\)/0x\1/'
objdump: /bin/su: Permission denied

да это просто пример, если интересно поэкспериментировать - посмотри http://git.zx2c4.com/CVE-2012-0056/

true_admin

так его вычислить не проблема, надо лишь чуток эксплоит допилить (добавить вызов objdump).

Так для вызова objdump root нужен.

можно использовать не su, а например gpasswd

objdump: /bin/su: Permission denied

ты поправил руками права на бинарь

Так для вызова objdump root нужен.

абсолютно не нужен, оно просто читает и парсит файл.

можно использовать не su, а например gpasswd

Я конечно извиняюсь... но генту это такая генту...
$ ls -l /usr/bin/gpasswd
-rws--x--x 1 root root 63128 июня 9 2011 /usr/bin/gpasswd

Update 2: as it turns out, Fedora very aptly compiles their su with PIE, which defeats this attack. They do not, unfortunately, compile all their SUID binaries with PIE, and so this attack is still possible with, for example, gpasswd.

веселуха

судя по сообщениями на этом форуме, машинки с ним только линухоиды покупают

Довольно странный выбор, есть же FreeDos, причём и на ThinkPad T, а за Starter надо платить и ставиться он только на г.

ты поправил руками права на бинарь

В нормальных дистрах читать такие тулзы юзеру не дают...
и правильно.

http://grsecurity.net/~spender/correct_proc_mem_reproducer.c
проверь

в 6ке kernel.randomize_va_space = 2 по-умолчанию, так что злорадство не в тему

в убунте тоже, тем не менее у редхата написано что это лишь немного усложняет жизнь хацкерам.

В нормальных дистрах читать такие тулзы юзеру не дают... и правильно.

в смысле suid-ные типа sudo, ping, etc? И это правильно?

хм, а зачем их читать? прав на исполнение не хватит?

В генте su как и gpasswd идёт без прав на чтения для юзеров. У меня обычная гента не харденед и если в ручную указать смещение то пашет. Хотя на ноуте у меня 2.6.32-r41 (в 3 были баги с суспендом).

хм, а зачем их читать?

чтобы узнать смещение нужной функции.

в смысле suid-ные

Просто прав на чтение нету похоже.

kolan@corka ~/tmp $ ll /bin/ls /bin/su
-rwxr-xr-x 1 root root 116512 Янв 15 19:56 /bin/ls
-rws--x--x 1 root root  56112 Сен 27 02:07 /bin/su

А каков результат должен быть - так и не понял...

я про

И это правильно?

не вижу особой надобности впринципе оставлять a+r для этих суидников
я не прав?

В генте su как и gpasswd идёт без прав на чтения для юзеров.

зато /proc/pid/mem читается. оттуда можно выдрать всё что нужно.

не вижу особой надобности впринципе оставлять a+r для этих суидников

я тоже не вижу если мы сейчас обсуждаем права на файлах. И лично я за то чтобы юзер мог как можно меньше лазить по системе в дефолтных настройках.

в этом ты прав, и не только читается, но даже пишется
собственно в этом и суть сплойта, а не в правах на суидники

Anyone with the correct permissions could write to process memory. It turns out, of course, that the permissions checking was done poorly. This means that all Linux kernels >=2.6.39 are vulnerable, up until the fix commit for it a couple days ago

Просто прав на чтение нету похоже.

Хы, а в убунте есть. Но в данном случае это не спасёт т.к. можно читать через proc (если я правильно понял).

ну и для ядер младше 2.6.39

Выявленная проблема по своему проявляется и для более старых ядер Linux до версии 2.6.39, для которых потенциально возможно проведение менее опасных атак, связанных с чтением областей памяти процессов (например, возможно чтение остающихся в памяти определённого процесса криптографических ключей, хэшей паролей и других приватных данных).

Через proc, м...

Кстати, в обычной Gentoo pf-sources сработало, в Hardened Gentoo пока безрезультатно... [поставить нужный смайл]

это ты с опеннета содрал :).

в Hardened Gentoo пока безрезультатно...

так там из-за kernel.randomize_va_space оно так просто не заработает. Нужен «коммерческий» эксплоит который умеет находить нужное место в памяти.

да, это тем кто по ссылкам не ходит и не понял суть уязвимости

по-хорошему, надо бы топик обновить, а то народ прибывает и прибывает и у всех одни и те же вопросы.

root@backbone /(/os/lin/gentoo/backbone) # cat /proc/sys/kernel/randomize_va_space 
0

Видимо, что-то ещё мешает.

http://grsecurity.net/~spender/correct_proc_mem_reproducer.c
проверь

Пишет, что уязвимый, как же так...

exploit@backbone ~ $ ./correct_proc_mem_reproducer 
vulnerable

эксплойт из первого поста - не панацея
к твоей системе он может и не применим, но уязвимость (Anyone with the correct permissions could write to process memory) есть

по скрипту:
а почему жестко проверяется /proc/self ?
у него все внутри имеет юзера овнером, в т.ч. и mem:

$ ls -l /proc/self/mem
-rw------- 1 jam jam 0 янв. 24 01:02 /proc/self/mem

в отличие от suid'ных процессов, запущенных юзером:

$ ls -l /proc/«`pidof su`»/mem
-rw------- 1 root root 0 янв. 24 00:48 /proc/8759/mem

Видимо, что-то ещё мешает.

может у тебя su собран не так как нужно (http://blog.zx2c4.com/) :)

а эт не мой скрипт, а от шапки и его модификация от спендера