LINUX.ORG.RU
НовостиЯдро Linux

очередная уязвимость в linux kernel 2.6 (повышение привилегий)


0

0

Некий Joanna R. выложил в публичный доступ очередной local root exploit, позволяющий повысить пользовательские привилегии вплоть до root.
The code exploits a root race in /proc

В данный момент уязвимы все ядра 2.6.х, вплоть до последнего 2.6.17.4

В качестве временного workaround-а можно посоветовать отключить поддержку a.out в ядре (модуль binfmt_aout.ko) - это не даст сработать доступному в данный момент эксплоиту.

>>> новость + эксплоит



Проверено: Tima_ ()

1 2 3 4
Ответ на: комментарий от ssh2

> Поступок достойный пионера! Будь готоф!

Пионэр, как ты прокомментируешь окуенную безопасность дырявого линупса, в дырявом и кривом ядре которого находят второй локалрут за три дня, такого не было даже в годы, когда дырявые линупсы рутались пачками через ptace, remap, mremap, epoll, uselib и прочие дыры. ПРодолжаем славные традиции, линупс - любимая игрушка взломщиков.

anonymous
()
Ответ на: комментарий от EViL

> переходишь с нормальной системы на пту-шное поделие? =)

Уткнись в дыры своей "нормальной" системы, красноглазег.

> Может этим debian'овцев и поломали?

Нет, дебиан порутали через вторую дырень "нормальной" "не птушной" системы.

http://www.debian.org/News/2006/20060713

anonymous
()

>Убунтя. Надо валить на генту. Ne verno, nado svalivat' s Linux:a voobshe! - BSD Ja eto yze daaaavno ponjal : Linux == MS_Soft_ver2 .

anonymous
() 

Хе хе 

niro@nironius:/mnt/big/video/South Park/1-2$ ./a.out South-Park-213-Cow-Days-rus-Goblin.avi

preparing
trying to exploit South-Park-213-Cow-Days-rus-Goblin.avi

sh-2.05b# uname -r
2.6.8-2-386
sh-2.05b#

niro
()
Ответ на: комментарий от Arceny

> Убунтя. Надо валить на генту.

На генту?

$ uname -rs
Linux 2.6.16-gentoo-r12
$ id
uid=1005(test) gid=100(users) groups=16(cron),100(users)
$ ./h00lyshit xxxx

preparing
trying to exploit xxxx

sh-3.1# id
uid=0(root) gid=100(users) groups=16(cron),100(users)
sh-3.1# wc -l /etc/shadow
73 /etc/shadow

Бугога! Только пропатчил дыру в prctl(), теперь снова обновляться )))

anonymous
()
Ответ на: комментарий от anonymous

> Джанна Рутовска - девушка

Дожили Уже даже секретутки линупс одной левой рутают. А фамилия знаковоая.

anonymous
()
Ответ на: комментарий от LeX

> джента поддалась :( 2.6.17-gentoo-r1

$ uname -r
2.6.16-gentoo-r12

"рутил" раз 10 наверно, в фоне было cat /usr/lib/* > /dev/null и закачивал по сети 3 файла, ~ 3мб/с
gentoo не поддалась :)
модуль binfmt_aout присутствует

anonymous
()
Ответ на: комментарий от some1

[alexei@threebears tmp]$ ./hOOlyshit /ALT/Debian_DVD/debian-31r0a-amd64-netinst.iso

preparing
trying to exploit /ALT/Debian_DVD/debian-31r0a-amd64-netinst.iso

[alexei@threebears tmp]$ id
uid=500(alexei) gid=500(user) группы=14(uucp),16(rpm),19(proc),37(camera),38(wine),39(lirc),51(ftpadmin),61(ha shman),80(cdwriter),81(audio),500(user),509(alexei_a),510(alexei_b)

Не работает. Как же так?

Alexei_VM
()
Ответ на: комментарий от LeX 

> джента поддалась :( 2.6.17-gentoo-r1 

% ./h00lyshit /usr/portage/distfiles/linux-2.6.17.tar.bz2

preparing
trying to exploit /usr/portage/distfiles/linux-2.6.17.tar.bz2

sh-3.1# id
uid=0(root) gid=100(users) groups=10(wheel),18(audio),100(users)

gentoo, 2.6.17-suspend2

JB ★★★★★
()
Ответ на: комментарий от Alexei_VM

ls -ld /proc

mount| grep proc

в ALT'е так испокон веков

thresh ★★★
()
Ответ на: комментарий от Alexei_VM

> Не работает. Как же так?

попробуй еще, параллельно загрузи систему чем нибудь

у меня например наобарот, первый раз получилось, а потом уже нет :)

JB ★★★★★
()
Ответ на: комментарий от anonymous

> Дожили Уже даже секретутки линупс одной левой рутают. А фамилия знаковоая.

Она не секретутка, а один из известных в мире специалистов по IT Security. Забавно, что она в основном занимается руткитами :)

http://invisiblethings.org/

anonymous
()
Ответ на: комментарий от JB

ALT'овские дистрибутивы/системы не подвержены этому и предыдущему багу

thresh ★★★
()
Ответ на: комментарий от anonymous

>> Не работает. Как же так?

>Шеллкод не под A64?

LOOOOOL:

[alexei@threebears tmp]$ uname -a

Linux threebears.lan 2.6.16-wks26-smp-alt7 #1 SMP PREEMPT Fri Jun 2 19:47:59 MSD 2006 i686 GNU/Linux

Или Вы считаете, что если мы натравливаем эксплоит на образ дебиана с amd64, то и эксплоит должен быть с 64битным шеллкодом?

LOL

thresh ★★★
()

С чего-то вдруг последнее время стало обнаруживаться куча опасных уязвимостей. И в MS Office (http://www.securitylab.ru/vulnerability/269287.php, http://zdnet.ru/?ID=609815, http://www.cnews.ru/news/line/index.shtml?2006/07/10/205561), и в OpenOffice (http://zdnet.ru/?ID=610458), и в ядре Linux (обсуждаемые две), и в WinRAR (http://www.cnews.ru/news/line/index.shtml?2006/07/07/205440). Хотя частично утешает то, что в свободных продуктах ошибки исправлены более оперативно, всё равно неприятно.

askh ★★★★
()
Ответ на: комментарий от askh

>С чего-то вдруг последнее время стало обнаруживаться куча опасных уязвимостей.

так каникулы у школьников-студентов, вот и делать им нефиг ;))

а уязвимости не такие уж и опасные, если ты на нормальной ОС сидишь, а не на всяких гентах

thresh ★★★
()

Ubunta Dapper: не работает.
Разные файлы пробовал, binfmt_aout подгружал, не знаю что делать :-((

Linux 2.6.15-26-386 #1 PREEMPT Fri Jul 7 19:27:00 UTC 2006 i686

Vidopliassov
()
Ответ на: комментарий от thresh 

preparing
trying to exploit /data3/kino/polar_express.avi

mmap: Cannot allocate memory

вот так... SuSE 10.1 x86_64, наверно дело в новой глибц
эксплоит собирал для i386, под x86_64, как было отмечено раньше, не собирается.

kott ★★★★★
()
Ответ на: комментарий от los_nikos

>нифига подобного - собралось, просто надо было .bin на .c заменить

Слушай, я не совсем тупой же. ;)
Показываю:

[jackill@vampiress-pc temp]$ gcc h00lyshit.c -o h00lyshit
/tmp/cc5SPZak.s: Assembler messages:
/tmp/cc5SPZak.s:7: Error: suffix or operands invalid for `pop'

[jackill@vampiress-pc temp]$ uname -a
Linux vampiress-pc.swamp.ru 2.6.16-1.2133_FC5 #1 SMP Mon Jun 19 14:36:50 MSD 2006 x86_64 x86_64 x86_64 GNU/Linux

jackill ★★★★★
()
Ответ на: комментарий от kott 

kv@Kot:~> uname -a
Linux Kot 2.6.16.13-4-smp #1 SMP Wed May 3 04:53:23 UTC 2006 x86_64 x86_64 x86_64 GNU/Linux

kott ★★★★★
()
Ответ на: комментарий от jackill

>Слушай, я не совсем тупой же. ;) >Показываю:

>[jackill@vampiress-pc temp]$ gcc h00lyshit.c -o h00lyshit

gcc -m32 h00lyshit.c -o h00lyshit

собирается, но не фурычит :)

kott ★★★★★
()
Ответ на: комментарий от geek

>попробуй собрать для x86. Главное чтобы 32-битная glibc в системе присутствовала :)

И зачем же она нам в 64-битной системе?

P.S. В принципе, я так и думал, что из-за этого.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Этот дырявый-дырявый-дырявый динупс дуршлаг едишн - чего еще ждать от пионэров... Второй локалрут за три дня - это хуже маздая, получился бы отличный факт для Get The Facts, кстати. И эти 3.14здоболы-линупсоиды еще что-то рассказывают про какую-то безопасность линупса и про то, что BSD RIP.

Оно более чем у половины не работает. И фиксы доступны в течение суток, а не месяца.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Дожили Уже даже секретутки линупс одной левой рутают. А фамилия знаковоая.

Напиши что-нить сначала уровня патча для ядра.

А перед этим спеллчекер поставь в любимом мастдае.

jackill ★★★★★
()
Ответ на: комментарий от thresh

> Или Вы считаете, что если мы натравливаем эксплоит на образ дебиана с amd64, то и эксплоит должен быть с 64битным шеллкодом?

Естественно, ты ведь не показывал uname, так что телепаты ошиблись, они все никак не могли понять зачем держать локально инсталлятор для A64, если машина не 64-битная...

anonymous
()
Ответ на: комментарий от thresh

> а уязвимости не такие уж и опасные, если ты на нормальной ОС сидишь, а не на всяких гентах

Debian и SuSe тоже подвержены порутанию или ты считаешь эти системы тоже баловством. Какая разница вообще, какой дистр, если дыры в ядре дырявого линупса?

anonymous
()
Ответ на: комментарий от jackill

Поставил nosuid на proc всё равно работает эксплойт

mount | grep proc

none on /proc type proc (rw,noexec,nosuid)

Rubystar ★★
()
Ответ на: комментарий от jackill

[jackill@vampiress-pc amule]$ ./h00lyshit Prizeaxhny.Mech.\(rus\).KiNOFACK.\&.ShareReactor.ru.avi

preparing trying to exploit Prizeaxhny.Mech.(rus).KiNOFACK.&.ShareReactor.ru.avi

failed: Permission denied

jackill ★★★★★
()
Ответ на: комментарий от jackill

>И зачем же она нам в 64-битной системе?

иначе сплоит не слинкуется :)

geek ★★★
()
Ответ на: комментарий от JB

мгм. А Alt Linux Castle изошник есть у кого-нибудь ? Короче я предрекаю тучи вирусов под линукс. Производители современных дистрибутивов прекрасно знают, что любой вирус подцепленный, например, через дыру в броузере может удалить или переслать атакующему всё содержимое домашнего каталога пользователя. Но производители не чешутся. Надо срочно что-то придумывать, или как-то ограничивать броузер и проч. программы, или пускать их из-под другого юзера или selinux и прочие rsbac интегрировать с x-сервером.

anonymous
()
Ответ на: комментарий от thresh 

anonymous@localhost ~ $ ./h00lyshit "Films/southpark/South Park (605) - Fun With Veal.avi"

preparing
trying to exploit Films/southpark/South Park (605) - Fun With Veal.avi

sh-3.00# id
uid=0(root) gid=100(users) groups=5(tty),10(wheel),11(floppy),14(uucp),18(audio),19(cdrom),20(dialout),35(g
ames),80(cdrw),100(users),250(portage),412(plugdev),414(qemu),415(vmware)
sh-3.00# exit

anonymous@localhost ~ $ sudo mount -o remount,nosuid /proc
anonymous@localhost ~ $ ./h00lyshit "Films/southpark/South Park (605) - Fun With Veal.avi"

preparing
trying to exploit Films/southpark/South Park (605) - Fun With Veal.avi

sh-3.00$ id
uid=1000(anonymous) gid=100(users) groups=5(tty),10(wheel),11(floppy),14(uucp),18(audio),19(cdrom),20(dialout),35(g
ames),80(cdrw),100(users),250(portage),412(plugdev),414(qemu),415(vmware)
sh-3.00$ exit

anonymous@localhost ~ $ sudo mount -o remount,nodev,nosuid,noexec/proc
anonymous@localhost ~ $ ./h00lyshit "Films/southpark/South Park (605) - Fun With Veal.avi"

preparing
trying to exploit Films/southpark/South Park (605) - Fun With Veal.avi

failed: Permission denied

anonymous@localhost ~ $

anonymous
()
Ответ на: комментарий от anonymous

> anonymous@localhost ~ $ sudo mount -o remount,nosuid /proc anonymous@localhost ~ $ ./h00lyshit "Films/southpark/South Park (605) - Fun With Veal.avi"

preparing trying to exploit Films/southpark/South Park (605) - Fun With Veal.avi

sh-3.00$ id uid=1000(anonymous) gid=100(users) groups=5(tty),10(wheel),11(floppy),14(uucp),18(audio),19(cdrom),20(dialout),35(g ames),80(cdrw),100(users),250(portage),412(plugdev),414(qemu),415(vmware) sh-3.00$ exit

Ага... только непонятно почему у меня в fstab прописано proc /proc proc nodev,nosuid,noexec 0 0 и mount выдаёт proc on /proc type proc (rw,noexec,nosuid,nodev), а эксплойт работает... :-(

Rubystar ★★
()

Коллеги-линуксоиды, а каким образом можно решить эту проблему с уязвимостями? А то стремно как-то становится. Вон дебиановоды чуть замешкались и сервер грохнули. Думаю если их хакнули то как бы мои серваки валить не стали. Да и надоело каждую неделю апдейтить ядро и перегружать всю сеть. Шо робыть? Кетайцы прутся так что секьюрити логи уже читать нету времени.

anonymous
()

а у меня не работает :( что я делаю не так ???

[davinchi@nirvana ~]$ uname -r 2.6.16-wks26-up-alt3

[davinchi@nirvana ~]$ ./h00lyshit Segmentation fault

[root@nirvana ~]# lsmod | grep binfmt binfmt_aout 7436 0 binfmt_misc 10888 1

anonymous
()
Ответ на: комментарий от anonymous

>Да и надоело каждую неделю апдейтить ядро и перегружать всю сеть. Шо робыть?

SElinux

geek ★★★
()

Как я рад, что не стал юзать эту написанную всем миром систему...
В свете 2-х local root за несколько дней и переходить теперь не захочется очень долго...

Пока
$ uname -a
NetBSD drummer.intranet.lebedev.ru 3.0 NetBSD 3.0 (MYKERNEL) #5: Sun Jun 18 03:30:04 MSD 2006 root@spinor.triniti.nat:/usr/src/sys/arch/i386/compile/MYKERNEL i386
$
и можно спать спокойно :)))

spinore
()
Ответ на: комментарий от jackill

RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC RSBAC спасёт отцов русской демократии.

anonymous
()
Ответ на: комментарий от anonymous

> а у меня не работает :( что я делаю не так ???

ты забыл включить девайс под названием "моск"

запускать надо так - ./h00lyshit /path/to/big/file

JB ★★★★★
()
Ответ на: комментарий от spinore

> $ uname -a NetBSD drummer.intranet.lebedev.ru 3.0 NetBSD 3.0 (MYKERNEL) #5: Sun Jun 18 03:30:04 MSD 2006 root@spinor.triniti.nat:/usr/src/sys/arch/i386/compile/MYKERNEL i386 $ и можно спать спокойно :)))

Так же, как и Неуловимый Джо. NetBSD используется гораздо реже, с одной стороны и ошибки в ней должны из-за этого находить реже, однако это так же может означать, что ненайденных пока ошибок в ней существенно больше. То есть если Джо всё-таки окажется кому-то действительно нужен, искать уязвимость в его системе будет легче...

А local root бывает и в NetBSD, например: http://www.securitylab.ru/notification/237415.php (2004 год), или ещё: http://www.securitylab.ru/notification/241849.php (2005 год, хотя дана оговорка "потенциальный").

askh ★★★★
()

>BSD на сервер, винды на десктоп, линупс в помойку.

Ne, vot kak nado:

BSD na server, BSD/OSX na desktop, ostal'noje v lab-enviro.

anonymous
()

>Как я рад, что не стал юзать эту написанную всем миром систему... В свете 2-х local root за несколько дней и переходить теперь не захочется очень долго... Пока $ uname -a NetBSD drummer.intranet.lebedev.ru 3.0 NetBSD 3.0 (MYKERNEL) #5: Sun Jun 18 03:30:04 MSD 2006 root@spinor.triniti.nat:/usr/src/sys/arch/i386/compile/MYKERNEL i386 $ и можно спать спокойно :)))

Da, ti prav: cerberus [20:13:52] $ uname -srvm OpenBSD 3.9 GENERIC#7 i386

cerberus [20:13:58] $

anonymous
()

Suse 10.1

Получил рутовый шелл с первой попытки.

Motl
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3 4
Ядро Linux