Ну тогда почему этот патч был в ядре Fedora и RHAS/ES/WS v.3.0?
Дырку нашли гораздо раньше, но ей никто не придал особого внимания....

так а эксплоит то где? дайте ссылку

proof of concept exploit tut: http://security.nnov.ru/search/news.asp?binid=3289

2 poliakov: ты случаянно не с физтеха ?

>proof of concept exploit tut: http://security.nnov.ru/search/news.asp?binid=3289

Бредовый какой-то proof.

То, что VMA можно сделать на всё ядро ясно уже из сообщений с debian. Это и без всякого ассемблера можно:

char mystack[4096];

void do_main (long esp) {
munmap (esp & ~(4096 - 1), 0xc0000000 - (esp & ~(4096 - 1)));
brk (0xfffff000);
}

int main () {
register long esp asm ("esp");
register long oldesp = esp;

esp = mystack+4096;

do_main(oldesp);

return 0;
}


Вопрос в том - как это проэксплуатировать.

Кстати, а почему на серверах Debian'a не сделали noexec на домашние каталоги или откуда там эксплоит запускался?

Murr, ты кажется хотел разбогатеть на ламании вин-банкоматов? Такой шанс провтыкал ! news.netcraft.com/archives/2003/11/25/nachi_worm_turned_cash_machines_into_scann ing_engines.html

как ты представляешь себе потом работу пользователей, на домашних директориях которых стоит noexec?

2poliakov

>как ты представляешь себе потом работу пользователей, на домашних директориях которых стоит noexec?

mount /home -o noexec ? Почему нет ?

anonymous (*) (03.12.2003 1:43:26)

Эх
не пришел еще мой час ;)

А чего ты под anonymous пишешь? ;) iXBTшная культура не привилась?

Я не иксбитишник. Фигли тусоваться на сайте, где ламаков рыбниковых держат.

Он что, еще что-то пишет?

Пофиксили 26-го числа.

Просто после взлома серверов Debian дополнительно объявили что эту дыру уже пофиксили и чтоб народ не нервничал :)

> Кстати, а почему на серверах Debian'a не сделали noexec на домашние каталоги или откуда там эксплоит запускался?

raorn@hell:pts/7 ~ $ cd tmp
raorn@hell:pts/7 ~/tmp $ cp /bin/ls .
raorn@hell:pts/7 ~/tmp $ chmod 444 ls
raorn@hell:pts/7 ~/tmp $ ls -l ls
-r--r--r--    1 raorn    raorn       72236 Dec  3 11:41 ls
raorn@hell:pts/7 ~/tmp $ /lib/ld-linux.so.2 ./ls /
bin  boot  dev  etc  home  initrd  lib  lost+found  mnt  opt  proc  root  sbin  tmp  usr  var

Потомучто noexec не остановит желающего запустить програмку c партиции с noexec

про noexec

2 anonymous (*) (03.12.2003 1:17:59):

> Кстати, а почему на серверах Debian'a не сделали noexec на домашние каталоги или откуда там эксплоит запускался?

Потому, что это до заднего места. [vanilla] kernel не предоставляет возможности запретить MAP_EXEC, не запретив READ_OPEN. Домашние директории, которые нельзя читать, никому не нужны.

можно проще: /lib/ld-2.x.x.so /home/user/proga

и никакие noexec не спасут ;)
помогут только rsbac или grsec...

Странно! Это даже в WinXP можно сделать

Он имел ввиду монтирвать партицию домашних директорий с опцией noexec. Вроде бы работает. Или я не въезжаю?

про noexec. часть 2

2 anonymous (*) (03.12.2003 13:23:35):

> Странно! Это даже в WinXP можно сделать

ACL в NT хорошие, но можно mmap'-нуть код в стек и там его исполнить. x86 suxx!

2 Rost:

> помогут только rsbac

RSBAC не запрешает исполнять код в стеке. Конечно, безобразие вида

/lib/ld.so.xxx /home/pupkin/blah

легко отсекается (с помощью RC, или ACL, или FF, или MAC, или ....) , но для полного счастья нужен еще PaX.

2 bzImage: > Он имел ввиду монтирвать партицию домашних директорий с опцией noexec. Вроде бы работает.

И я имел в виду это. Но толку с этого -- ноль. См. пример несколькими сообщениями выше...

> Или я не въезжаю?

Похоже на то.

anonymous:

>Странно! Это даже в WinXP можно сделать

Что именно? Вот что точно можно делать в XP - так это менять права на файлы, владельцем которых ты являешься.

Пишите на Pascal'е и не будет подобных дырок

про права в NT

2 Murr:

> Что именно? Вот что точно можно делать в XP - так это менять права на файлы, владельцем которых ты являешься.

1) Отличие состоит в том, что файлы в домашней директории пользователя _не обязаны_ ему принадлежать ( и тем не менее, пользователь имеет возможность их изменять/создавать/удалять).

2) Не факт, что пользователь сможет поменять права доступа даже для тех файлов, которые ему принадлежат -- какая-нибудь политика безопасности может это запрещать, или унаследованные ACL.

про язык программирования.

2 anonymous (*) (03.12.2003 16:20:06):

> Пишите на Pascal'е и не будет подобных дырок

Шагом марш на первый курс. Если не поможет -- в морг.

> Он имел ввиду монтирвать партицию домашних директорий с опцией noexec.

а почему это дети лишены права компилировать и запускать свои погремушки?

А нехрен на сервере что-то компилять.

Ну да да! По-крайней мере письмо от бравых парней с Ред Хата мне пришло только сегодня, а вот про находки Debian Security я прочитал ещё вчера. Очевидно одно - встрепенулись они (бравые парни) последними.

> 1) Отличие состоит в том, что файлы в домашней директории пользователя _не обязаны_ ему принадлежать ( и тем не менее, пользователь имеет возможность их изменять/создавать/удалять).

В linux можно удалить файл, не принадлежащий тебе (нужно права на запись в директорию). Можно изменять чужой файл, если входишь в группу или есть права для others. Вот _создать_ чужой файл нельзя :) Все создают свои файлы, и имхо это разумно. Поменять владельца может root.

> 2) Не факт, что пользователь сможет поменять права доступа даже для тех файлов, которые ему принадлежат -- какая-нибудь политика безопасности может это запрещать, или унаследованные ACL.

В патченых линукс ядрах таких аклов - навалом

> Отличие состоит в том, что файлы в домашней директории пользователя _не обязаны_ ему принадлежать ( и тем не менее, пользователь имеет возможность их изменять/создавать/удалять).

И чего? В Linux файлы тоже не обязаны принадлежат владельцу их содержащей директории.

Пример совсем не в тему.

Поясняю: проблема заключается в том, что пользователь может притащить с собой программу и ее запустить. В Win всё тоже самое (то есть в этом ключе нет никакой разницы) - если тебе разрешено создавать файлы в своей директории, то никто тебе не сможет помешать прицепить к ним любые угодные тебе ACL.

>Не факт, что пользователь сможет поменять права доступа даже для тех файлов, которые ему принадлежат -- какая-нибудь политика безопасности может это запрещать,

Политики тут не при чем. Это ключевой момент в подсистеме безопасности NT - владелец всегда может поменять ACL на своих объектах.

>или унаследованные ACL.
Дык это твое личное дело - наследовать или не наследовать. Форсировать это никак нельзя.

Да, от noexec действительно толку мало. Посмотрел grsecurity. Там есть опция trusted path execution. Пользователи из группы untrusted users имеют право исполнять программы лишь из каталогов, куда может писать только рут. Фокус с ld не работает. Будут идеи, как запустить эксплоит?

Не подскажите, почему эта опция включается при security->high с ней что какие-то проблемы?

Похоже, Debian - только начало. Один из гентушных серверов rsync.gentoo.org поимели и установили руткит. Вот так вот, линуксоидам есть о чем задуматься. GENTOO LINUX SECURITY ANNOUNCEMENT 200312-01 - ---------------------------------------------------------------------------

GLSA: 200312-01 summary: rsync.gentoo.org rotation server compromised severity: normal date: 2003-12-02 CVE: None exploit: remote

DESCRIPTION:

On December 2nd at approximately 03:45 UTC, one of the servers that makes up the rsync.gentoo.org rotation was compromised via a remote exploit. At this point, we are still performing forensic analysis. However, the compromised system had both an IDS and a file integrity checker installed and we have a very detailed forensic trail of what happened once the box was breached, so weare reasonably confident that the portage tree stored on that box wasunaffected.

А дайте кто-нибудь эксплоит, хочу проверить свою машинку, дюже неохота ядро менять(2.4.21 grsec)

Очень похоже это сообщение на черный ПР или клевету.

И что особенно смущает, что называются хорошими именно те два дистрибутива (RH и SuSE), которые крупные корпорации активно комерциализируют. Оставляют в них минимум от свободного Linux и набивают под завязку всяким частно-собственеческим программным обеспечением (Java, реализации DCOM, закрытые библиотеки и пакеты с обычными (наглыми) лицинзионными соглашениями и т.д.)

ignat

запуск exploit'-а в системе с RSBAC | grsec | SELinux

2 anonymous (*) (03.12.2003 21:31:38):

> Посмотрел grsecurity. Там есть опция trusted path execution. Пользователи из группы untrusted users имеют право исполнять программы лишь из каталогов, куда может писать только рут.

Можно на#$ать и grsec TPE, и RC.

> Фокус с ld не работает.

Естественно.

> Будут идеи, как запустить эксплоит?

Вызвать переполнение буфера в _ЛЮБОЙ_ -- не обязательно SUID!, bug-то у kernel'-а, -- программе, которую разрешено выполнять юзверю ( а в /usr/bin их более, чем достаточно ), закинуть ей в стек этот код, и исполнить его.