LINUX.ORG.RU

В ядре Linux обнаружена критическая уязвимость

 , , ,


1

2

В январе 2014 года разработчик Daniel Borkmann обнаружил и устранил уязвимость в ядре Linux, позволявшую удалённо осуществить повреждение стека и выполнить произвольный код с привилегиями ядра. Уязвимость находилась в файле net/netfilter/nf_conntrack_proto_dccp.c, относящемся к подсистеме conntrack, а конкретно, в коде функций «dccp_new()», «dccp_packet()», и «dccp_error()», обрабатывающих данные, поступающие по протоколу DCCP.

В минувший вторник уязвимость была официально признана критической, получив код CVE-2014-2523. Патч, устраняющий проблему, войдет в ядро Linux 3.14. Дополнительно отмечается, что уязвимость существует в ядре, как минимум, с версии 2.6.32 (по некоторым сведениям, с 2.6.26), и оставалась незамеченной на протяжении 4 лет.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Ответ на: комментарий от redgremlin

согласен, я не прав. я почему-то думал что весь контрак одним куском

val-amart ★★★★★ ()
zgrep -i dccp /proc/config.gz 
CONFIG_NF_CT_PROTO_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_NF_NAT_PROTO_DCCP=m
CONFIG_IP_DCCP=m
CONFIG_INET_DCCP_DIAG=m
# DCCP CCIDs Configuration (EXPERIMENTAL)
# CONFIG_IP_DCCP_CCID2_DEBUG is not set
CONFIG_IP_DCCP_CCID3=y
# CONFIG_IP_DCCP_CCID3_DEBUG is not set
CONFIG_IP_DCCP_TFRC_LIB=y
# DCCP Kernel Hacking
# CONFIG_IP_DCCP_DEBUG is not set
# CONFIG_NET_DCCPPROBE is not set

бида, печель

artb1sh ()
Ответ на: комментарий от travka

На опеннете советуют сказать файерволлу отключить обработку трафика по этому протоколу для входящего и исходящего трафика:

iptables -t raw -I PREROUTING -p dccp -j NOTRACK
iptables -t raw -I OUTPUT -p dccp -j NOTRACK

anonymous ()
Ответ на: комментарий от kas501

Далеко не каждую неделю появляется уязвимость, позволяющая любому желающему получить рут-права, не правда ли?

anonymous ()
Ответ на: комментарий от anonymous

Благодарю, хоть и «this does look a lot like a 'give me hack code' request».

dexpl ★★★★★ ()

Насрать и растереть.

anonymous ()

А я вот уже давно подумываю послать нахрен udp/tcp и заюзать SCTP или DCCP. Надоело искать начало пакета в TCP и нумеровать UDP. Может новость говорит о том, что DCCP начал набирать популярность? :)

anonymous ()
#grep -i dccp /usr/src/linux/.config
# CONFIG_IP_DCCP is not set

#uname -a
Linux 3.13.6-gentoo
Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ага. И много ли у кого загружен этот модуль? Даже наличие модуля вовсе не означает что он вообще когда-то будет загружен. Лично я не нашёл ни одного сервера, где бы оно фигурировало в выводе lsmod.

srg666 ()
Ответ на: комментарий от NaN

можешь посмотреть конфиг и собрать без этого модуля. или патч наложить и поставить ядро с фиксом

mazdai ★★ ()
Ответ на: комментарий от DeadEye

О господи... Если каждую дыру постить, то ЛОР будет завален новостями.

Назад в будущее^WЛокалхост

travka ()

о сколько нам открытий чудных... (с)

W ★★★★★ ()
# grep DCCP /boot/config-3.14-rc7-amd64 
CONFIG_NF_CT_PROTO_DCCP=m
CONFIG_NF_NAT_PROTO_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_IP_DCCP=m
CONFIG_INET_DCCP_DIAG=m
# DCCP CCIDs Configuration
# CONFIG_IP_DCCP_CCID2_DEBUG is not set
CONFIG_IP_DCCP_CCID3=y
# CONFIG_IP_DCCP_CCID3_DEBUG is not set
CONFIG_IP_DCCP_TFRC_LIB=y
# DCCP Kernel Hacking
# CONFIG_IP_DCCP_DEBUG is not set
CONFIG_NET_DCCPPROBE=m

# lsmod | grep dccp

# cat /etc/debian_version 
jessie/sid

бида-бида

exception13 ★★★★★ ()
Ответ на: комментарий от DeadEye

вот это правильно, лучше 3Д принтер склепай, или робота

CHIPOK ★★★ ()

Скажу очевидное: у кого nf_conntrack_proto_dccp собран модулем, можете добавить его в блэклист и не возиться с правилами iptables.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.