LINUX.ORG.RU

Обнаружена очередная local root уязвимость в ядре Linux 3.8

 , ,


0

2

В рассылке OSS-security появился тривиальный эксплоит для ядра 3.8, который посредством использования вызова clone() с параметрами CLONE_NEWUSER|CLONE_FS позволяет непривилегированному пользователю получить права суперпользователя.

Эксплоит работает только в том случае, если в ядре встроена поддержка namespaces, а также у пользователя есть права на запись в корневую файловую систему (в большом количестве систем корень и домашний раздел находятся на одном и том же разделе).

Для запуска эксплоита в 32-битном окружении, поменяйте все вхождения lib64 на lib, а ld-linux-x86-64.so.2 на ld-linux.so.2.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 3)

Linux 3.8

ядро свежее
много нового кода
это нормально

smilessss ★★★★★
()
Ответ на: комментарий от true_admin

речь про сложность написания реализации, а не про проблемы админов

вообще-то ipv6 придумали для решения проблем админов.

drBatty ★★
()
Ответ на: комментарий от true_admin

можно ещё пару пунктов?

Да хотя бы то же самое обнаружение шлюза и генерацию адреса, раз уж про dhcp заговорили. Механизмы также очень просты.

imul ★★★★★
()
Ответ на: комментарий от drBatty

вообще-то ipv6 придумали для решения проблем админов.

ipv6 придумали для решения проблемы дефицита адресов. То, что его изначально грамотно продумали и вызывает побочный эффект в виде решения проблем админов и программистов.

imul ★★★★★
()

в большом количестве систем корень и домашний раздел находятся на одном и том же разделе

А где пруф что в большинстве?

queen3 ★★★★★
()
Ответ на: комментарий от imul

Да хотя бы то же самое обнаружение шлюза и генерацию адреса, раз уж про dhcp заговорили.

А разве они чем-то сильно отличаются от того что было в dhcp? Я не понимаю зачем это надо было пихать в ядро если до конца всё равно оно не продумано. Если хочешь чтобы кто-то поправил resolv.conf всё равно нужен user-space демон. Кроме того, по dhcp можно очень много чего передать, начиная от хостнейма и заканчивая ээээ много чем. В ipv6 это всё не был предусмотрено и теперь мы имеем

1) Волну новых rfc, причём когда дойдёт до софта абсолютно не ясно

2) нам нужны и radvd и dhcpcd в одной сетке чтобы получать все настройки сети и обеспечить ddns. Это же дебилизм.

true_admin ★★★★★
()
Ответ на: комментарий от drBatty

Начиная с некоторого момента ты начал отвечать совершенно не в попад. Мы тут реализацию обсуждаем, а не что-либо ещё.

true_admin ★★★★★
()
Ответ на: комментарий от UNiTE

И это хорошо! Важно не количество уязвимостей, а своевременность их обнаружения.

что такое «своевременность обнаружения уязвимости»? получил я доступ к шеллу, и тут бац как-раз уязвимость нашли, я и воспользовался, очень своевременно — так?

anonymous
()
Ответ на: комментарий от actics

/usr отдельный в свете последних веяний моды лучше не делать.

т.е. если охота развлечься - то /usr отдельным разделом.

вообще по-хорошему /var отдельно, /tmp в tmpfs, /home отдельно

Slackware_user ★★★★★
()
[vova7890@localhost ~]$ gcc -O2 clown-newuser.c -omain
[vova7890@localhost ~]$ ./main
[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer
[+] Found myself: '/home/vova7890/main'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[+] Done.
[*] Cloning evil child ...
[-] clone: Invalid argument
^C
[vova7890@localhost ~]$ uname -r
3.9.0-2-desktop
vova7890 ★★★
()
Ответ на: комментарий от vova7890

Ой, залез в сорец, а там написано как компилять >_<

[vova7890@localhost ~]$ ./a.out 
[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/home/vova7890/a.out'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[+] Done.
[*] Cloning evil child ...
[-] clone: Invalid argument
^C
ну все равно не работает, яхз

vova7890 ★★★
()
Последнее исправление: vova7890 (всего исправлений: 1)
Ответ на: комментарий от true_admin

А что неясно? Как обнаружить шлюз в сети неясно? Он и без dhcp-сервера обнаружится. :) radv обеспечивает любой граничный роутер. А resolv.conf — архаизм и не нужен в сетях ipv6-only.
Волна новых rfc всегда сопровождает какое-то значимое событие. Посчитай те же ipv4-related rfc.
В общем, меня tailgunner уже убедил, что сложность кода практически одинаковая, что у ipv4, что у ipv6. Так что вал ошибок будет скорее всего в пределах статистической нормы.

imul ★★★★★
()
Ответ на: комментарий от vova7890

Вова, здесь уже выяснили, что нужно специально заточенное ядро. Никто компилировать не стал — ни у кого не работает. Не боянь попусту.

imul ★★★★★
()

./a.out [**] clown-newuser — CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/home/usrname/a.out'

  • Setting up chroot ...
  • Parent waiting for boomsh to appear ... [-] link: Invalid cross-device link

    и на этом зависает. Ну ок, чо

skvitek ★★★
()
Ответ на: комментарий от anonymous

что такое «своевременность обнаружения уязвимости»? получил я доступ к шеллу, и тут бац как-раз уязвимость нашли, я и воспользовался, очень своевременно — так?

да. А теперь найди мне сервер в продакшене с ядром 3.8. СЕЙЧАС, а не через год, когда об этой дыре все забудут, ибо закрыто давно.

drBatty ★★
()
Ответ на: комментарий от i_gnatenko_brain

А подсветку клавиатуры завел? Ну и сканер отпечатков пальцев, самая важная фича. Сколько от батареи держит? (Напиши пожалуйста, какой процессор и hdd или ssd)

f1xmAn ★★★★★
()
Ответ на: комментарий от f1xmAn

1. лучше в жабе на эту тему пообщаться (я добавил)
2. да. она на уровне bios.
3. да.
4. acpi показывает 8 часов на 6ячеечной. с нагрузками вытягивал часов 5
i7-3520m
hdd hitachi стоит

i_gnatenko_brain ★★★★
()
Ответ на: комментарий от imul

А resolv.conf — архаизм и не нужен в сетях ipv6-only.

Я не понимаю юмора, ты серьёзно утверждаешь что от ДНС пришло время отказаться?

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Нет, что ты, просто фантазирую. :)

В корпоративной локалке как стояли демоны и dhcp и dns, так они никуда и не денутся, а в сохо с этим отлично справятся граничные маршрутизаторы. Поэтому dns будет работать прекрасно не взирая на количество дополнительных rfc.

Что же касается /etc/resolv.conf, то его можно успешно заменить ссылкой на /proc/resolv.conf, а может быть даже и /proc/self/resolv.conf... вот нисколечко не вижу никакой необходимости хранить эту информацию в файле статически для ipv6-only. От /etc/mtab избавились, надеюсь и от этого архаизма также успешно избавятся.

PS: а что, хорошая идея-то. Надо бы Ленарду подкинуть. :)

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от tailgunner

Если /tmp - это симлинк на /var/tmp, будет

... эпичный фейл systemd :-)

no-dashi ★★★★★
()
Ответ на: комментарий от imul

вот нисколечко не вижу никакой необходимости хранить эту информацию в файле статически для ipv6-only.

так никаких подвижек по этому нету. Я и пишу что недоработали. Пока народ хотел через netlink к userspace-демону передавать инфу.

Впрочем, нужно ли всё подряд тащить в ядро тоже не понятно. По-сути, если из user-space это не управляется то это оочень плохо.

true_admin ★★★★★
()
Ответ на: комментарий от imul

Не надо язвить. Я имел в виду сервера работодателя, которые состоят в инфраструктуре согласно политикам безопасности предприятия со всеми мерами предосторожности, включая аппаратные фаерволы, маршрутизаторы, шифрование. На этом сайте не только школьники и студенты.

ivanlex ★★★★★
()
Ответ на: комментарий от anonymous

что такое «своевременность обнаружения уязвимости»?

Не притворяйся, здесь нет никакой двусмысленности. Praemonitus praemunitus.

UNiTE ★★★★★
()
Ответ на: комментарий от true_admin

Кто знает, сколько продлится переходный период и как будут обеспечивать совместимость с приложениями. Хотя, если будут в /proc экспортировать дополнительную переменную (всё-равно она в служебных структурах стека есть), ничего плохого не будет.

imul ★★★★★
()
Ответ на: комментарий от xtraeft

Они не торчат, потому что в другой подсети за аппаратным фаерволом. Не нужно всех вокруг считать школьниками. Не все здесь такие, какими ты их себе представляешь.

ivanlex ★★★★★
()
Ответ на: комментарий от ivanlex

Кто тебя знает. Может быть ты и есть работодатель. На этом сайте же не только школьники и студенты.

imul ★★★★★
()
Ответ на: комментарий от i_gnatenko_brain

в 18 федоре не работает :)

А у меня работает, 3.8.2-206.fc18.x86_64. Каталог создал в корне, как показал анонимус на первой странице, ибо хомяк на отдельном разделе. А у тебя похоже тоже так, но ты этого не сделал, потому и не работает.

anonymous
()
Ответ на: комментарий от i_gnatenko_brain

Неважно, отставить, это я туплю. У меня тоже ошибка clone:

[pid  8908] clone(child_stack=0x7bceb0, flags=CLONE_FS|CLONE_NEWUSER|SIGCHLD) = -1 EINVAL (Invalid argument)

В мане clone есть похожее, но флаг CLONE_NEWUSER у меня там вообще не упоминается:

       EINVAL Both CLONE_FS and CLONE_NEWNS were specified in flags.
anonymous
()

Ну, отлично. Сначала поломали API, потом драйвера, а теперь ещё и root-уязвимость. Fedora 18 должна была использовать именно это ядро %)

GreenTea ★★
()

(в большом количестве систем корень и домашний раздел находятся на одном и том же разделе).

Расписывайтесь только за себя. Кстати, еще один аргумент в пользу разбиения на разделы/ФС.

unanimous ★★★★★
()
Ответ на: комментарий от unanimous

Так вот зачём леннарт затеял слияние / и /usr. Сегодня /usr, завтра /home. Это саботаж.

naryl ★★★★★
()

РЕШЕТО!

А как вообще динамика, уязвимостей все меньше? Например, касаемо браузеров

По словам участвовавших в конкурсе исследователей из компании Vupen, из-за задействования дополнительных механизмов защиты, разработка эксплоитов стала занимать заметно больше времени, например, если для прошлых конкурсов, эксплоит удавалось написать за неделю, то сейчас на поиск уязвимости и написание эксплоита было потрачено несколько месяцев. Отдельно отмечаются положительные сдвиги компании Adobe в плане укрепления безопасности Flash-плагина и оперативности выпуска обновлений: если раньше эксплуатация уязвимостей во Flash являлась основным источником распространения вредоносного ПО, то теперь лавры перешли к плагину Java.

http://www.opennet.ru/opennews/art.shtml?num=36328 Т.е. веб-песочницы все безопаснее, а в отношении линукса можно сказать что-то подобное?

special-k ★★★★
()
Ответ на: комментарий от anonymous

хорошо, что она в паблике всплыла, а не лежала в темных закоулках злоумышленников

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от special-k

Т.е. веб-песочницы все безопаснее, а в отношении линукса можно сказать что-то подобное?

нельзя, к сожалению

xtraeft ★★☆☆
()
Ответ на: комментарий от special-k

Т.е. веб-песочницы все безопаснее, а в отношении линукса можно сказать что-то подобное?

От chroot до виртуалок.

tailgunner ★★★★★
()
Ответ на: комментарий от special-k

Чем больше уязвимостей тем меньше уязвимостей.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.