Уязвимость VFS в последних ядрах linux

>И как это сделать? kill -9 1 не работает. killall init - тоже. А wininit в вантузе - прихлопывается на раз. Что и делается в том ролике.

Ээээ. А как же тогда я получал сообщение: "Init terminated...."

и все :)

>Нет не знаю. До сих пор я комментировал, только то что вы пишете здесь.

Уважаемый anonymous я тоже являюсь anonymous'ом, и отличить одного anonymous'а от другого не так то просто.

PS анонимные коментарии на ЛОР'е лучше вообще не читать, а тем более отвечать на них т.к. никогда не знаешь кто ответит на твое сообщение - новый уникальный anonymous или старый, на сообщение которого Вы отвечали. =)

> Вывод: теория - говно.

тоже самое можно сказать и про автора поста, на который я отвечаю

>Ээээ. А как же тогда я получал сообщение: "Init terminated...."

И правда даже "kill -KILL 1" не работает :)

chmod -x /lib/ld-linux.so.2 перед этим нужно сделать

> Первому, кто подаст идею КАК это вообще можно заэксплойтить -- пряник.

Эксплойт есть :( Но до фикса он embargoed :)

Ну вот, а вы говорите 2.6, 2.6 +).

chmod -x /lib/ld-linux.so.2 перед этим нужно сделать

Kill тогда даже не запускается

Попутал, это ls и т.д. не запускаются, а kill -9 1 как не работал, так и не работает

>Эксплойт есть :( Но до фикса он embargoed :)

Хм, подождем. В принципе, идея-то есть, но мне не хватит технических знаний её проверить...

>Как? Опиши, пожалуйста! Можно ли используя SELinux преодолеть этот баг?

#include <sys/types.h> #include <sys/stat.h> #include <fcntl.h>

int main(int argc, char** argv) { open(argv[1], O_TRUNC); }

gcc -o test test.c

./test <какой-нибудь каталог>

Вот и всё. Каталог херится. Но только если есть права на запись -- чужое так не похеришь.

Как это можно заэксплойтить -- хз. Может быть, если знать как оно все устроено, порезав таким образом каталог, можно получить каталог с каким-нибудь суидным бинарником. Хз.

Жалкие фанатики, в винде можно завершить важдный процес который урони систему - винда говно, в линухе нельзя - линух рулит, а кто всегда кричал что винда говно? что она считает что админ глупее чем она, а линух крутой, там админ может сделать то что считает нужным? вы смешные =)

Именно такой пример и приводился на lwn.

Posted Jan 17, 2008 16:33 UTC

не обобщайте. Увидели пару постов, и все у вас фанатики...

Патч.

Думаем, думаем, как этот баг можно использовать в деструктивных целях =)

--- a/fs/namei.c
+++ b/fs/namei.c
@@ -1576,7 +1576,7 @@ int may_open(struct nameidata *nd, int acc_mode, int flag)
        if (S_ISLNK(inode->i_mode))
                return -ELOOP;
        
-       if (S_ISDIR(inode->i_mode) && (flag & FMODE_WRITE))
+       if (S_ISDIR(inode->i_mode) && (acc_mode & MAY_WRITE))
                return -EISDIR;
 
        error = vfs_permission(nd, acc_mode);
@@ -1595,7 +1595,7 @@ int may_open(struct nameidata *nd, int acc_mode, int flag)
                        return -EACCES;
 
                flag &= ~O_TRUNC;
-       } else if (IS_RDONLY(inode) && (flag & FMODE_WRITE))
+       } else if (IS_RDONLY(inode) && (acc_mode & MAY_WRITE))
                return -EROFS;
        /*
         * An append-only file must be opened in append mode for writing.

Опоздал. См. выше. Я себе уже три каталога запортил... :] Придется теперь fsck прогонять.

Запортить каталоги-то немудрено... а вот вписать бы в них как-нибудь что-нибудь интересное, в обход всех прав...

>Т.е. за 5 лет миллионы глаз, которые видели код, ошибку не заметили. Вывод: теория - говно

Уже заметили. Про временные рамки теория не говорит. Вывод: теория работает.

А анонимусам плохо преподавали логику.

>Видимо там не всё так плохо. Ещё во времена утечки исходников Win2k люди говорили, что WinNT довольно качественно написана.

Волны багов нет из-за NDA.

Ну а что касается кода - не знаю как у МС, но у остальных контор, где кодирую индийцы, все довольно плохо.

> Да, "баг" просто 3.14здец, вошли под рутом и чего-то сделали в таскменеджере, при этом из-за качества разобрать нельзя.

> Я точно также могу линух уронить, войдя под рутом :)

Угу, а потом пишут в "шаманских рецептах", что нужно ставить руту шел в /dev/null специально, чтобы такие как ты себе ногу не откусывали.

> Уже заметили. Про временные рамки теория не говорит. Вывод: теория работает.

> А анонимусам плохо преподавали логику.

То что за пять лет будут найдены почти все баги можно говорить про любой код, а не только про опенсорсный. Теория же предполагает наличие некого преимущества, которого нет на практике.

> Волны багов нет из-за NDA.

Вообще говоря, я имел ввиду не сами баги, а вирусы их использующие, как это было, когда произошла утечка исходников Win2k. Сомневаюсь, что человека решившего написать вирус остановит NDA.

> Ну а что касается кода - не знаю как у МС, но у остальных контор, где кодирую индийцы, все довольно плохо.

Вы рассист? Если индус значти тупой кодер? В индии не всё так плохо. Может там и ставят производство софта на конвейер, когда тысяча кодеров пишут программы, но всей этой толпой должен кто-то управлять. И я уверен что на сотню кодеров там точно найдётся несколько толковых программистов, а у Microsoft вполне хватит денег, чтобы таких нанять.

> Можешь дальше брызгать слюнями и смеяться над девушкой, которая не достаточно сильно прижала большой палец, видимо это всё на что ты способен. Всё равно, сказанного мной это никак не опровергает.

Девушка, когда я еще развлекался хацкерством в 2002-2004 гг, исправлял публичные, правя шеллкод и находя универсальные оффсеты, писал свои эксплоиты и разные вспомогательные программки для вытаскивания паролей из роминговых звонилок и VPN-клиентов. Тогда мы вместе с командой единомышленников, которые сейчас мирно занимаются системным администрированием, в пылу азарта переломали тысячи виндовых компьютеров, сотни компаний, проникали в десятки VPN компаний с мировыми именами, коля дырявые юзерские машины W2k, XP, MSSQL-сервера, IIS, виндовые контроллеры доменов как орехи через огромное количество дыр в службах винды(DCOM,LSASS,messenger,workstation,server,rpc locator,wins,...), IIS и MSSQL. В основном это были надежно эксплуатируемые удаленно дыры, дающие наивысшие права, классическое трвиально эксплуатируемое переполнение стека, спасибо майкрософту за SEH который делал эксплуатацию еще надежней. Ты не поверишь насколько были велики масштабы бойни и как далеко мы пролезли. Может быть когда-нибудь я напишу мемуары под псевдонимом анонимуса. Поэтому нечего говорить о том, чего не знаешь и лгать про качество мегадырявого кода NT, Windows 2000 и XP!!! Надеюсь, не все еще забыли эпидемии MS Blaster и Saser.

> Девушка, когда я еще развлекался хацкерством в 2002-2004 гг, исправлял публичные, правя шеллкод и находя универсальные оффсеты, писал свои эксплоиты и разные вспомогательные программки для вытаскивания паролей из роминговых звонилок и VPN-клиентов. Тогда мы вместе с командой единомышленников, которые сейчас мирно занимаются системным администрированием, в пылу азарта переломали тысячи виндовых компьютеров, сотни компаний, проникали в десятки VPN компаний с мировыми именами, коля дырявые юзерские машины W2k, XP, MSSQL-сервера, IIS, виндовые контроллеры доменов как орехи через огромное количество дыр в службах винды(DCOM,LSASS,messenger,workstation,server,rpc locator,wins,...), IIS и MSSQL. В основном это были надежно эксплуатируемые удаленно дыры, дающие наивысшие права, классическое трвиально эксплуатируемое переполнение стека, спасибо майкрософту за SEH который делал эксплуатацию еще надежней. Ты не поверишь насколько были велики масштабы бойни и как далеко мы пролезли. Может быть когда-нибудь я напишу мемуары под псевдонимом анонимуса. Поэтому нечего говорить о том, чего не знаешь и лгать про качество мегадырявого кода NT, Windows 2000 и XP!!! Надеюсь, не все еще забыли эпидемии MS Blaster и Saser.

lol :):):) Много букв, фактов ноль.

Про эпидемии MS Blaster и Saser я парой постов выше писал. Качество кода и безбажность - это не синонимы, хоть и сильно взаимосвязаны.

> Много букв, фактов ноль.

http://cut.and.paste.org/index.php?id=1870

Все события вымышлены, все совпадения случайны. (c) Вот, например, менеджер мелкософта:

Windows IP Configuration

Host Name . . . . . . . . . . . . : TaraBDell
Primary Dns Suffix . . . . . . . : europe.corp.microsoft.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : europe.corp.microsoft.com

Ethernet adapter Local Area Connection:

Media State . . . . . . . . . . . : Media disconnected
Description . . . . . . . . . . . : 3Com 3C920 Integrated Fast Ethernet
Controller (3C905C-TX Compatible)
Physical Address. . . . . . . . . : 00-06-5B-E1-51-60

Ethernet adapter Wireless Network Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Dell TrueMobile 1150 Series Wireless
LAN Mini PCI Card
Physical Address. . . . . . . . . : 00-02-2D-5B-38-D9
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.34.29
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :

PPP adapter Outlook Web Access (Smart Card Not Available):

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 57.66..
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 57.66..
DNS Servers . . . . . . . . . . . : 57.66.127.196
57.68.127.196

А это VPN Империи Зла:

EDIA=rastapi
Port=VPN6-0
Device=WAN Miniport (L2TP)

DEVICE=vpn
PhoneNumber=CXN-EOC.MICROSOFT.COM
AreaCode=
CountryCode=353
CountryID=353
UseDialingRules=0
Comment=
LastSelectedPhone=0
PromoteAlternates=0
TryNextAlternateOnFail=1

> Качество кода и безбажность - это не синонимы, хоть и сильно взаимосвязаны.

Уязвимость это баг.

PS заставшим времена фринета и рисерчинга x25 сито, ворлдкома, совам, спринта и т.д. привед. Коллегам-админам за изучение сетей не обижаться. :)