Permalänk
Hedersmedlem

Local root-exploit i Linux 2.6

http://www.idg.se/2.1085/1.145049
http://it.slashdot.org/article.pl?sid=08/02/10/2011257&from=r...

OK, detta är ingen nyhet längre (det dök upp på slashdot i söndags), men jag märkte precis att det inte fanns nån tråd här!
Kort och gott, det är bara att som lokal användare att kompilera ett program och köra, så är man root. Inte bra för de som har många användare på sina datorer!

[serenity@arch ~]$ gcc -o exploit test.c -static [serenity@arch ~]$ whoami serenity [serenity@arch ~]$ ./exploit ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x0 .. 0x1000 [+] page: 0x0 [+] page: 0x20 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4020 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0xb7f1c000 .. 0xb7f4e000 [+] root [root@arch ~]# whoami root [root@arch ~]# uname -a Linux arch 2.6.23-ARCH #1 SMP PREEMPT Tue Jan 15 06:34:36 UTC 2008 i686 AMD Athlon(tm) 64 Processor 3200+ AuthenticAMD GNU/Linux

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk

Du kör Arch Linux? Varför kör du inte senaste kärnan som finns i repon? http://archlinux.org/news/383/

Min Arch burk är iallafall inte sårbar

Edit: Kom på att du kanske redan kör senaste, och ville bara visa att den kärnan var sårbar?

Till alla, uppgradera om det finns en fix för guds skull!

Visa signatur
Permalänk
Hedersmedlem

Kör bara Arch i vmware än så länge, efter att jag läste att exploiten kunde förstöra filsystem ville jag inte prova den på min riktiga burk bara för att få lite output att klista in här.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk
Citat:

Ursprungligen inskrivet av Thomas
Kör bara Arch i vmware än så länge, efter att jag läste att exploiten kunde förstöra filsystem ville jag inte prova den på min riktiga burk bara för att få lite output att klista in här.

Haha ja, den kraschade den burken jag testade på ganska hårt. Var en labb-burk i vmware tack och lov, uppsatt just för att testa detta

Visa signatur

People... What a bunch of bastards... | Mac Pro 2x2.26GHz QuadCore - Nehalem, 24GB DDR3, ATI HD4870, 3TB HDD | MacBook Pro 13.3 ", Core 2 Duo - 2.26GHz, 8GB DDR3, 9400M 256MB, 120GB SSD | PowerMac G4 MDD, Dual 1,25GHz, 2GB DDR, 1,45TB HDD | FCNSA | VCP4

Permalänk
Medlem

Åfan.. fungerader "fint" här med. Lite oroväckande. Tid för att kompilera om lite kärnor.
EDIT: Hihi:

exploit.c:138:2: error: #error "unsupported arch"

PPC ftw

Visa signatur

Behind every great fortune there is a crime. - Honoré de Balzac
simonb @ irc

Permalänk
Medlem

kan man avaktivera så att man inte kan logga in som root med su som vanlig användare ?
Om man nu kan det skyddar det emot denna exploit ?

Permalänk
Hedersmedlem

Ja, det kan du, bara se till att /bin/su inte får köras av alla (t ex chmod 4550 /bin/su) och sen ha de som ska få su-access i gruppen som äger filen, oftast wheel.
MEN, det skyddar *inte* mot denna exploit. Problemet ligger i kärnan.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk

Nasty.

Tur att man undviker Linux numera.

Visa signatur

"Linux is good because it keeps people out of real kernels"

Permalänk
Medlem

Hotet dök upp på söndag och på tisdag ville Ubuntu av någon anledning uppdatera kärnan

Permalänk
Medlem

Wow, tur man inte delar ut konton på servern :S

Provade precis i Ubuntu Server 7.10 AMD64, funkar kanon(dåligt).

fog@oxen:~/test$ whoami fog fog@oxen:~/test$ ./exploit ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x100000000000 .. 0x100000001000 [+] page: 0x100000000000 [+] page: 0x100000000038 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4038 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0x2b5d068c3000 .. 0x2b5d068f5000 [+] root root@oxen:~/test# whoami root

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Avstängd

Allting är relativt....:) de från Redmond brukar vara "Highly critical" eller högre...:)

http://secunia.com/advisories/28835/

http://www.ubuntu.com/usn

Utmaningen är ju alla "drönare" som inte håller sina burkar uppdaterade,
vet inte hur man gör eller att det är för jobbigt att confa om tex servertjänster.
Då gör man hellre som strutsen och gömmer huvet i sanden...:)

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Permalänk
Medlem

Sådär, en dist-upgrade och reboot löste problemet.

Antar att man inte ställt till med nått annat i systemet genom att testa Exploiten? Någon som kan bekräfta att de exploiten gjorde "resetas" vid reboot?

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk

Skulle testat den i går i vmware, men jag sög visst ganska hårt, lyckades inte ens kompilera skiten utan fick en massa errorz

Visa signatur

Citera mig gärna om du vill ha svar!

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av fog
Wow, tur man inte delar ut konton på servern :S

Provade precis i Ubuntu Server 7.10 AMD64, funkar kanon(dåligt).

fog@oxen:~/test$ whoami fog fog@oxen:~/test$ ./exploit ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x100000000000 .. 0x100000001000 [+] page: 0x100000000000 [+] page: 0x100000000038 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4038 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0x2b5d068c3000 .. 0x2b5d068f5000 [+] root root@oxen:~/test# whoami root

Över SSH eller Lokalt?

Visa signatur

Kör väl en klassisk signatur:
9900K @ 5GHz/128GB 3200MHz DDR4/3x1TB NVME/6800XT på Aorus Z390 Elite
Samsung C34F791, Svive 34C801, Xiaomi 34", Logitech MX Master 3 + G512...
Behöver för jobb, ej gamer.

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av bogg
Över SSH eller Lokalt?

Förstår inte vad du syftar på när du ställer frågan

Om jag sitter vid servern när jag skriver det eller om jag ansluter till den via SSH?

Eller om jag inte delar ut konton via internet(ssh) / lokalt?

Visa signatur

Citera mig för svar.
Arch Linux

Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av N1ghtCrawler
Skulle testat den i går i vmware, men jag sög visst ganska hårt, lyckades inte ens kompilera skiten utan fick en massa errorz

Samma här, fick ta reda på PAGE_SIZE manuellt, inte allt för mycket jobb (speciellt inte för någon som faktiskt försöker exploita på riktigt ).

bogg: Nu körde jag ju inte ubuntu, men jag körde via ssh iaf.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av bogg
Över SSH eller Lokalt?

jag hoppas du skojjar? det spelar självklart ingen roll...

Permalänk
Medlem

Det här är ju varför man kör linux. Såg denna nyhet på slashdot i söndags, och körde bara "pacman -Suy" så fort jag läst den. Fick kärnan uppdaterad, och problemet var väck

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av =JoNaZ=
jag hoppas du skojjar? det spelar självklart ingen roll...

Har jag sagt att det spelar roll?

1. Jag undrade

2. Det finns vissa exploits som bara fungerar om man sitter fysiskt vid burken,
Jag testade själv en exploit för några år sedan som vägrade fungera över SSH men med samma användarkonto fungerade den jättebra om man satt fysiskt vid datorn.

Visa signatur

Kör väl en klassisk signatur:
9900K @ 5GHz/128GB 3200MHz DDR4/3x1TB NVME/6800XT på Aorus Z390 Elite
Samsung C34F791, Svive 34C801, Xiaomi 34", Logitech MX Master 3 + G512...
Behöver för jobb, ej gamer.

Permalänk
Citat:

Ursprungligen inskrivet av =JoNaZ=
jag hoppas du skojjar? det spelar självklart ingen roll...

Eftersom felet ligger i kärnan så ska det väl inte spela någon roll. Men det kan ju faktiskt vara så att det är ett fel som bara finns när man sitter lokalt, det är inte så dumt att tro det. Du kommer inte komma åt viss hårdvara och och vissa program utan att vara inloggad lokalt. Tex kan man inte starta X på skärmen via ssh i Debian, men det går bra om man loggar in via tangentbordet.

Visa signatur